MFW(Managed FireWall) のインターネット接接続設定について 以下のようなNW を前提とします ECL2.0 Tenant Server01 VM (Cent) 172.28.1.521 Server02 VM (Cent) 172.28.1.53 MFW 172.28.1.33(po1 ort5) FW 設定情報 ロジカルネットワーーク2( 内部 NW 側 ) 172.28.1.32/27 ロジカルネットワーク 1( インターネット側 ) 192.168.111.0/29 Inter 192.168.111.1( (port4) グローバル IP Internet-GW 設定情報 1)153.153.1.147 2)153.153.1.20 上記図図のように仮想サーバ インターーネット GW ロジカルネットワーク MFW を作成します インターネット GW ロジカルネットワークの作成方成方法については下記のマニュアルを参考にしてください インターネット GW https://ecl..ntt.com/documents/tutorials/rsts/network/internet.html ロジカルネットワーク http://www.cloudn-service.com/guide/manuals/html/vpcc closednw/rsts/migration_tool/linux/vpn_connect.html# #logicalnw-create または http://www.cloudn-service.com/guide/manuals/html/vpcclosednw/rst ts/migration_tool/windows/vpn_conn nect.html#logicalnw-create
なお ここでは ECL2.0 のロジカルネットワークを下記のような設定で作成しております お客さまの NW 構成に応じて適宜 アドレスを変更してください ロジカルネットワーク1( インターネット側 ) サブネット名 :sub-nw-inet 01 ネットワークアドレス :192.168.111.0/29 ゲートウェイ IP:192.168.111.1 DHCP: 有効 ロジカルネットワーク2( 内部ネットワーク側 ) サブネット名 :sub-nw-inet 01 ネットワークアドレス :172.28.1.32/27 ゲートウェイ IP:172.28.1.33 DHCP: 有効
また インターネットゲートウェイは以下のように設定しております IP アドレス情報 ゲートウェイ IPv4 アドレスプライマリ IPv4 アドレスセカンダリ IPv4 アドレス ネットマス ク VRRP グループ ID 192.168.111.6 192.168.111.5 192.168.111.4 29 1 また 以下の方法でグローバル IP を取得しております グローバル IP の追加ボタンをクリックしてグローバル IP を追加 インターネットゲートウェイの詳細画面のグローバル IP のタブをクリックし グローバル IP の追加ボタンを押してグローバル IP を追加してください 今回の例では以下の IP が追加されたものとします グローバル IP( 実際には x の部分には正しい IP の表記が入ります ) 1)153.153.1.147 2)153.153.1.20
ここから先 MagedFW(MFW) の設定について説明いたしますが MFW ルールは以下のようなポリシーで設定します お客さまの状況に応じて各パラメーターを変更してください Server01 02 はグローバル IP1) 2) で NAT してインターネット側へアクセス可能 ( アドレスおよびポート制限 なく 全プロトコルでアクセス可能 ) インターネット側からは特定の IP からのみグローバル IP 経由で Server1,Server2 へアクセス可能 ( ポート制限 なく 全プロトコルでアクセス可能 ) ここでは特定の IP を 153.156.**.214 153.156.**.215 と表記します 実際の場合は実在する接続元 IP を設定する ことが必要となります
1 MFW(ManagedFireWall) の作成について MFW 作成方法の詳細は下記リンクをご参照ください https://ecl.ntt.com/documents/tutorials/security/rsts/security/order/managed_firewall_utm/order_new_sin gle.html ここをクリック 対象テナントのコントロールパネルを開きクラウドコンピューティングを選択します 次にネットワークを選択し マネージドファイアウォールをクリックして SecurityMenu 画面を表示します 画面が表示されたら Managed Firewall/Managed UTM の横にある Order をクリックします
デバイス追加画面が表示されたら申込み種別で デバイス追加 を選択し デバイス情報で メニュー プラン 構成 ゾーン / グループ を選択してください 今回は以下のように選択した例で説明します メニュー :Managed Firewall プラン : 2CPU-4GB 構成 : Single ゾーン / グループ :zone1-groupb
Operation が表示されます Managed Firewall が作成されたら Order ボタンの横に Operation ボタンが表示されますので クリックして設定を始めてください
クリックしてください Operation ボタンを押して上記の設定画面が表示されたら UTM Port Management をクリックして設定を始めて ください
インターフェイスの設定 クリックしてください UTM Port Management の設定画面が表示されたら Manage Interfaces ボタンをクリックしてポートの有効化 とロジカルネットワークとの接続を ってください
クリックしてください 設定画面が表示されたらまず Port4 の設定を ってください Port4 の を選択して 編集 ボタンをクリックしてください
編集 ボタンを押したら Port4 にロジカルネットワークを接続する設定を います 詳細は https://ecl.ntt.com/documents/tutorials/security/rsts/security/operation/managed_firewall_utm/3110_inte rface_single.html をご参照ください ここではあらかじめ作成しているロジカルネットワーク 1( インターネット側 ) 今回の例では以下のように設定します EnablePort: チェックを入れる IPAddress[CIDR]:192.168.111.1/29 MTU Size:1500(default) Network ID: プルダウンで表示されますので接続するロジカルネットワーク 1 を選択してください SubnetID: ロジカルネットワークの Subnet192.168.111.0/29 を選択してください 設定が済んだら 保存 ボタンを押してください
同様に Port5 の設定画面に入りロジカルネットワークを接続する設定を います ここではあらかじめ作成しているロジカルネットワーク 2( 内部ネットワーク側 ) に接続します 今回の例では以下のように設定します EnablePort: チェックを入れる IPAddress[CIDR]:172.28.1.33/27 MTU Size:1500(default) Network ID: プルダウンで表示されますので接続するロジカルネットワーク2を選択してください SubnetID: ロジカルネットワークの Subnet172.28.1.32/27 を選択してください 設定が済んだら 保存 ボタンを押してください クリックしてください Port4.Port5 の設定が済んだら 今実 ボタンをクリックしてください
クリックして画面を閉じてください ステータス成功と表示されます 設定が反映されたらステータス成功と表示されますので画面を閉じてください
UTM-*** で始まる部分を選択し 右クリックでデバイス管理を選択します
Routing( デフォルトルート ) の設定 2 追加 をクリックしてください 1 Routeing を選択してください
インターネット側への Routing 設定の追加を います 詳細は https://ecl.ntt.com/documents/tutorials/security/rsts/security/operation/managed_firewall_utm/4210_rout ing_single.html をご参照ください 今回の例では以下のように設定します Destination IP:0.0.0.0 Subnet Mask:0.0.0.0 Gateway:192.168.111.6 Interface:Port4 設定が済んだら 保存 をクリックしてください
Address Object の設定 2 追加 をクリックしてください 2 AddressObject を選択してください 次に AddressObject の設定を います 画面左側のオブジェクトから AddressObject を選択し 表示された画面の 追加 ボタンを押してください
設定値を入 後 保存 ボタンを押してください AddressObject の入 画面が表示されますので次の設定値を今回は設定します 1) AddressName:server01 Type:Subnet( プルダウンで選択します ) IPAddresss:172.28.1.52 SubnetMask:255.255.255.255 Interface:Port5( プルダウンで選択します ) Comment:( 入 は不要 )
設定値を入 したら保存ボタンを押して AddressObject を追加してください 繰り返し以下の AddressObject を追加してください 2) AddressName:server02 Type:Subnet( プルダウンで選択します ) IPAddresss:172.28.1.53 SubnetMask:255.255.255.255 Interface:Port5( プルダウンで選択します ) Comment:( 入 は不要 ) 3) AddressName:test-env-01 Type:IP Range( プルダウンで選択します ) Start IP Addresss :153.156.**.214( 実際はお客さまの ECL2.0 外の接続元の IP を入 します ) End IP Addresss :153.156.**.215( 実際はお客さまの ECL2.0 外の接続元の IP を入 します ) Interface:Port4( プルダウンで選択します ) Comment:( 入 は不要 )
Destination NAT の設定 2 追加 をクリックしてください 3 DestinationNAT を選択してください 次に DestinationNAT の設定を います 画面左側のオブジェクトから DestinationNAT を選択し 表示された画面の 追加 ボタンを押してください
DestinationNAT の入 画面が表示されますので次の設定値を今回は設定します 詳細は https://ecl.ntt.com/documents/tutorials/security/rsts/security/operation/managed_firewall_utm/4330_dest ination_nat.html をご参照ください 1) NAT Name :inbound-server01 External IP Address : 153.153.1.147 Mapped IP Address :172.28.1.52 External Interface :Port4( プルダウンで選択します ) Port Forward : チェックを外します Comment : ( 入 不要 ) 設定入 後 保存 ボタンを押して設定を保存します 次に 追加 ボタンを押して以下の設定値を追加します
2) NAT Name :inbound-server02 External IP Address : 153.153.1.20 Mapped IP Address :172.28.1.53 External Interface :Port4( プルダウンで選択します ) Port Forward : チェックを外します Comment : ( 入 不要 )
Source NAT の設定 2 追加 をクリックしてください 1 SourceNAT を選択してください
SourceNAT の入 画面が表示されますので次の設定値を今回は設定します 詳細は https://ecl.ntt.com/documents/tutorials/security/rsts/security/operation/managed_firewall_utm/4340_sour ce_nat.html をご参照ください 1) NAT Name :outbound01 External IP Address : 153.153.1.147 Mapped IP Address : 153.153.1.147 Comment : ( 入 不要 ) 設定入 後 保存 ボタンを押して設定を保存します 次に以下の設定値を追加します
2) NAT Name :outbound02 External IP Address : 153.153.1.20 Mapped IP Address : 153.153.1.20 Comment : ( 入 不要 ) 上記設定完了後 ページ下部の 変更の保存 をクリックします
Firewall Policy の設定 2 追加 をクリックしてください 1 Firewall Policy を選択してください
FirewallPolicy の入 画面が表示されますので次の設定値を今回は設定します 詳細は https://ecl.ntt.com/documents/tutorials/security/rsts/security/operation/managed_firewall_utm/4500_fire wall_policy.html をご参照ください
1) Move rule :No Move( ラジオボタンで選択 ) Enable : チェックボックスにチェックを入れる IncomingInterface :Port4( プルダウンで選択 ) SourceAddress :test-env-01( プルダウンで選択 ) OutgoingInterface :Port5( プルダウンで選択 ) DestinationAddressType :NAT Object( ラジオボタンで選択 ) DestinationNAT :inbound-server01( プルダウンで選択 ) Service :ALL( プルダウンで選択 ) Action :ACCEPT( プルダウンで選択 ) NAT : チェックボックスにチェックを入れる NAT mode :UseOutgoingInterfaceAddress( ラジオボタンで選択 ) Log :Disable( プルダウンで選択 ) 設定値を入 したら 保存 ボタンをクリックして設定を保存してください 繰り返し以下の FirewallPolicy を追加してください 2) Move rule :No Move( ラジオボタンで選択 ) Enable : チェックボックスにチェックを入れる IncomingInterface :Port4( プルダウンで選択 ) SourceAddress :test-env-01( プルダウンで選択 ) OutgoingInterface :Port5( プルダウンで選択 ) DestinationAddressType :NAT Object( ラジオボタンで選択 ) DestinationNAT :inbound-server02( プルダウンで選択 ) Service :ALL( プルダウンで選択 ) Action :ACCEPT( プルダウンで選択 ) NAT : チェックボックスにチェックを入れる NAT mode :UseOutgoingInterfaceAddress( ラジオボタンで選択 ) Log :Disable( プルダウンで選択 )
3) Move rule :No Move( ラジオボタンで選択 ) Enable : チェックボックスにチェックを入れる IncomingInterface :Port5( プルダウンで選択 ) SourceAddress :server01( プルダウンで選択 ) OutgoingInterface :Port4( プルダウンで選択 ) DestinationAddressType :Address Object( ラジオボタンで選択 ) DestinationAddress :all( プルダウンで選択 ) Service :ALL( プルダウンで選択 ) Action :ACCEPT( プルダウンで選択 ) NAT : チェックボックスにチェックを入れる NAT mode :UseNAPTObject( ラジオボタンで選択 ) NAPTObject :outbound01( プルダウンで選択 ) Log :Disable( プルダウンで選択 ) 4) Move rule :No Move( ラジオボタンで選択 ) Enable : チェックボックスにチェックを入れる IncomingInterface :Port5( プルダウンで選択 ) SourceAddress :server02( プルダウンで選択 ) OutgoingInterface :Port4( プルダウンで選択 ) DestinationAddressType :Address Object( ラジオボタンで選択 ) DestinationAddress :all( プルダウンで選択 ) Service :ALL( プルダウンで選択 ) Action :ACCEPT( プルダウンで選択 ) NAT : チェックボックスにチェックを入れる NAT mode :UseNAPTObject( ラジオボタンで選択 ) NAPTObject :outbound02( プルダウンで選択 ) Log :Disable( プルダウンで選択 ) 上記の設定が完了したら Firewall Policy の設定および Managed Firewall の設定は完了です なお 今回の例ではインターネット外部の特定の Source IP から全てのプロトコルでの仮想サーバーへのアクセスを許 可する設定を入れております お客さまのご利 状況に応じて Firewall Policy はご設定ください
インここまい状況ックル以下の ifgw-s ifgw-s 以上でンターネッまでの設定の状態況です そこで仮ルートの設定を実の情報をこの例で名前 staticrt-01 staticrt-02 で設定は完了ですットゲート態ですと 外部か仮想サーバーが外実施します では入 します 153.153.1 153.153.1 す 仮想サーバートウェイ ( から仮想サーバ外部と通信でき 宛先.147/32.20/32 ーおよびお客さ (Static バーに対するアクきるようにするた 192.16 192.16 さまの環境からイク Route) クセス 仮想サーため 最後にインネクストホ 68.111.1 68.111.1 インターネットでクリック ) の設定ーバーから外部へンターネットゲーホップで疎通確認できる部へのアクセスがゲートウェイにスるかご確認くだができなスタティださい