さて、XG Firewallをインストールしてしばらくいろいろ試してみたが、
動作が安定しているのか、安定していないのか、いまいちよくわかっていない（＾＾；

とはいえ、HTTPではウイルスをブロックする設定にして、
HTTPSはとりあえずスルーして設定した状態で、
ドラクエ１０を遊んでみた。

結論から言うと、ドラクエ１０は、HTTPSで通信しているっポイ。

アプリケーションとしては登録がないので、作ろうかと思ったが、設定の仕方がわからない。

でも、遊べているからいいことにしよう。

HTTPSを検査するようにしても、とりあえずは遊べた。
タイムラグがあるようには感じなかった。

しかし、メールチェックで、Office365にOutlookでつながるまでに10分くらいかかり、
その後、問題なく受信できるという状態になり、とりあえず戻した。

試してほしいことがあれば、コメントください。

XG Firewallの設定は、許可したりブロックした入りといったものをプロファイルとして設定しておき、「ファイアウォール」の設定項目で選択していく方式となっている。

今回は、既定で用意されているプロファイルを設定していく。

1. まず、ログオンしたら、左のメニューから「ファイアウォール」をクリックする。
   
   
2. 既定で設定されているルールの鉛筆マークの「編集」をクリックする。
   　


3. このルールは「LANゾーン」から「WANゾーン」へのすべての通信に適用されるよう設定されている。
   　
   
   
4. 下にスクロールしていき、「マルウェアのスキャン」の項目で、「HTTPのスキャン」と「FTPのスキャン」にチェックを入れる。
   　「IPS（侵入防御システム）」で「LAN TO WAN」を選択する。
   　「Webポリシー」で「Default Workplace Policy」を選択する。
   　　
   
   
5. 「NAT＆ルーティング」で、「送信元アドレスの書き換え（マスカレード）」が有効になっていることを確認する。
   　「アプリケーションコントロール」で「Allow All」を選択する。
   　「保存」をクリックする。
   　
   
   
6. 左のメニューから「Web」をクリックする。
   　「保護」タブの「マルウェアのスキャン」項目で、「マルウェア スキャン モード」を「パッチ（最高保護）」となっていることを確認し、「適用」をクリックする。
   　
   
   
7. 「http://eicar.org」にアクセスし、「ANTI-MALWARE TESTFILE」タブをクリックする。
   
   
   
8. 左の紫の四角から「DOWNLOAD」をクリックする。
   　
   
   
9. 真ん中あたりの「eicar.com.txt」をクリックする。
   　
   
   
10. ブロックされれば、設定がうまくいっている。
    　

あとは、必要に応じて設定していけばよい。

たぶん、この設定でアダルトサイトや犯罪関連のサイト、危険なサイトにはアクセスできなくなっているはずだ。

特にProxyを設定しなくても、ちゃんとブロックされる。

ただ、大きなファイルのダウンロードには失敗することがある。
これは、ウイルスチェックに時間がかかるためと思われる。

自分の家の環境に合わせて、上手に調整していただきたい。

先ず、クライアントがXG Firewallに接続出来るようにネットワークの設定をしてから初期設定に入る。

1. 以前購入した「TP-Link アンマネージプラススイッチ TL-SG108E」のV-LAN設定をする。
   　　Tag V-LANを最大限に生かせるように以下のように設定した。
   　
   
   
2. PVID設定も行う。これで初めてUntaggedの設定が生きるようだ。
   　
   
   
3. 次にHyper-Vの仮想スイッチに設定したポートを物理ポートのV-LAN Tag 2に紐付ける。
   　
   
   
4. 「TP-Link アンマネージプラススイッチ TL-SG108E」の
   　　第1ポートにサーバを、
   　　第2ポートに設定用のクライアントを、
   　　第8ポートに今までサーバに刺さっていたネットワークを繋ぐ。
   
   
5. 第2ポートに接続した設定用クライアントで
   　URL:https://172.16.16.16:4444
   　　に接続する。
   　　証明書が正しくない旨の警告が出るが、無視して接続する。
   
   
6. ログオン画面が表示されたら、
   　ユーザID:admin
   　パスワード:admin
   　　でログオンする。
   　
   
   
7. 「ようこそ」画面でダウンロード時に登録したメールアドレスに送られてくる
   　　シリアル番号を入力し、「デバイスのアクティベート」をクリックする。
   　
   
   
8. アクティベートに成功したら、「デバイスの登録」をクリックする。
   　
   
   
9. 「Sophos ID」が無い場合は「Create Sophos ID」をクリックし、IDを作成する。
   　　「Sophos ID」が有る場合は「Login」をクリックする。
   　
   
   
10. 自分の「Sophos ID」でサインインする。
    　
    
    
11. アクティベートの際に入力したシリアル番号が表示されるので、
    　　「reCAPTCHA」をクリアして「Continue」をクリックする。
    　
    
    
12. 「Initiate License Synchronization」をクリックする。
    　
    
    
13. 同期が行われ、「ようこそ」画面に戻る。「こちらをクリック」をクリックする。
    　
    
    
14. 「ネットワーク設定ウィザード」で「Start」をクリックする。
    　
    
    
15. 「ゲートウェイモード」を選び「＞」をクリックする。
    　
    
    
16. この画面では、とりあえず何も弄らずに「＞」をクリックする。
    　
    
    
17. この画面でも、とりあえず何も弄らずに「＞」をクリックする。
    　
    
    
18. この画面では、適用したい設定を選んで「＞」をクリックする。
    　　勿論後で変更も出来るので悩んだら変更する必要は無い。
    　
    
    
19. 自分が契約しているメールサーバの設定を入れて「＞」をクリックする。
    　この設定を飛ばすこと出来ないので何かは入れる必要上がある。
    　
    
    
20. タイムゾーンを「Asia/Tokyo」に変更し、
    　　「NTPサーバーと自動的に同期」にチェックを入れて「＞」をクリックする。
    　
    
    
21. 設定内容の確認が来るので、「終了」をクリックする。
    　
    
    
22. 「OK」をクリックする。
    　
    
    
23. 設定作業が行われるが、これ以降はDHCPサーバが居なくなるので、
    　　最後まで続けて設定する必要がある。
    　
    
    
24. 設定が完了しログオン画面が出たら、
    　ユーザID:admin
    　パスワード:admin
    　　でログオンする。
    　
    
    
25. 「管理」→「デバイスのアクセス」の下の方にある
    　　「デフォルトの管理者パスワードを設定」で管理者パスワードを変更し「適用」をクリックする。
    　
    
    
26. 「ネットワーク」→「DHCP」でインターフェース「Port1 - 172.16.16.16」に
    　開始IP：172.16.16.18
    　終了IP：172.16.16.254
    　　を入力し、「保存」をクリックする。
    　　これでDHCPサーバが復活する。
    　
    
    

ここまでで、最低限の設定が完了した。

次は、もう少し設定して動作確認を行う。

この製品を理解するのは少し難しかった。

まぁ、大体判った。

1．最初にHyper-Vに仮想スイッチを追加して、インストールを始める。

　　仮想スイッチは「内部ネットワーク」としておく。

　

2．新しい仮想マシンを作成する。

　

3．仮想マシン名を指定する。

　

4．仮想マシンは「第1世代」で作成する。「第2世代」ではインストーラの起動すら出来ない。

　

5．メモリーは固定で今回は最大の6144MBに指定する。最低でも3GByteは無いと重くなるようだ。

　　また、動的にするとインストールに失敗する。

　

6．ネットワークは最初に作成した仮想スイッチを指定する。

　　物理LANを指定すると、そこにDHCPサーバが起動してしまう。

　　また、2番目のLANがインターネットに接続できる必要があるので、

　　最初のポートはここでは仮想スイッチでなければいけない。

　

7．仮想ハードディスクは14GByte以上が規程で使われてしまう。

　　ログ領域のことも考えても、規定値で問題ない。

　

8．ブートイメージとして、ダウンロードしたXG FirewallのISOイメージを指定する。

　

9．この設定で一旦完了する。

　

10．プロセッサのコア数を変更する。2コア以上が良いようだ。

　

11．追加のネットワークアダプタとして物理LANを指定する。

　

12．マシンを起動してインストールを開始する。

　　インストールするか聞いてくるので、「y」と「Enter」キーを押す。

　

13．インストールが始まる。結構時間がかかる。

　

14．インストールが終わると、再起動するか聞いてくるので、

　　「メディア」の「DVDドライブ」からメディアを抜き出して、

　　「y」と「Enter」キーを押す。

　

15．何故かもう一度聞いてくるので、「y」と「Enter」キーを押す。

　

16．デフォルト設定を読み込んで起動してくるとパスワード要求画面が表示される。

　　ここでは「admin」と入力する。

　

17．ライセンス規約が表示される。ので、「y」キーーを押下する。

　

18．メニュー画面が出てくる。ネットワーク設定を確認しよう。

　　「1」と「Enter」キーを押す。

　

19．もう一度、「1」と「Enter」キーを押す。

　

20．一つ目のLANはStaticでIPアドレスは「172．16．16．16」となる。

　

21．二つ目のLANは家ではDHCPサーバからIPをもらえているようだ。

　　これで二つ目のLAN（ZoneはWANと言う表記になる）がインターネットと通信できる。

　

ここまででインストールは完了。

次は設定を行っていく。

今日は、Hyper-Vのゲストとしてインストールするときの注意点だけ。

今回は、Windows Server 2016 essentialsに入れてみようと思っているのですが、

まず、LANを2つ以上準備する必要があります。

現在、私のWindows Server 2016 essentialsサーバにはLANポートが一つしかないので、
Tag V-LANを使って無理やりセグメントを増やします。
私は、Tag V-LANでセグメントを増やせるように、
「TP-Link アンマネージプラススイッチ TL-SG108E」を購入してみました。
8ポートのL2スイッチでV-LANが使えてアマゾンで\3,480でかえました。

※注意点１
この時、最初のLANポートを既存のLANにしてはいけません。
問答無用でDHCPサーバが上がってきて、「172.16.16.0/24」のアドレスを配布し始め、既存の機器がインターネットに接続できなくなってしまうからです。

※注意点２
少なくとも、インストールが完了するまで、メモリーを動的に設定してはいけません。
メモリを動的に設定すると、インストール中にメモリーが512Mbyteしかないと勘違いしてインストールに失敗します。

※注意点３
初期設定はサーバのWebサーバではできません。
設定用にクライアントOSの入ったマシンを用意する必要があります。

とりあえずこんなところで、次回からは初期インストールからスクリーンショット付で紹介します。

では（＾＾）／~~~