FW Migration Guide (Single) - PDF Free Download

前提条件 Managed Firewall( 以下 M-FW) とファイアウォール (Brocade 5600 vrouter)( 以下 vfw) からファイアウォール (vsrx) への交換によるマイグレ実施方法です Internet-GW, ロードバランサー, Web サーバーの設定変更 (Routing 変更等 ) は発生しないケースですロードバランサーはツーアーム構成のマイグレ実施方法ですワンアーム構成をご利用の場合はお客様環境にそって読み替えて頂きますようお願い致します M-FW vfw で利用しているネットワークを vsrx へ接続します M-FW vfw で利用しているネットワークの接続解除から vsrx への付け替え時通信断の時間が発生いたします vsrx の基本設定は下記リンクを参照頂けますようよろしくお願いいたします https://ecl.ntt.com/documents/tutorials/rsts/vsrx/basic/basic.html vsrx のルーティング設定はお客様構成に応じて設定をお願い致します vsrx 作成時インターフェイス (ge-0/0/0.0) は Trust ゾーンに設定されております作成後各インターフェイスはお客様環境にそって読み替えて設定頂きますようお願い致します vfw/vsrx 共にステートフルインスペクション機能を利用しますステートレスファイアウォールをご利用の場合お客様環境にそって読み替えて頂きますようお願い致します事前検証を行ってから移行を実施ください Copyright NTT Communications Corporation. All right reserved. 4

移行前構成 (M-FW, vfw 構成 ) Client 180.xxx.xxx.xxx/32 InterNet 153.xxx.xxx.xxx/32 Internet-GW(act).249.248 Internet-GW(stb) 192.168.30.0/24 ( 外部セグメント ) VRID 1 VIP.250 VRID 10 Port 4.101 VIP.254 Port 4.102 M-FW-01 (First unit) M-FW-02 (Second unit) Port 5.101 VRID 20 Port 5.102 192.168.20.0/24(FWセグメント ) VIP.254 dp0s4.11 vfw-01 (Master) dp0s7.11 192.168.10.0/24(LB セグセグメント ) VRID 30 VIP.251 VRID 40 VIP.254 dp0s4.12 vfw-02 (Back up) dp0s7.12 1/1.6 LB-01(M) 1/2.6 172.16.10.0/24( サーバセグメント ) VRID 30 VIP.251 Web-server-01 Copyright NTT Communications Corporation. All right reserved. 6.1 1/1.7 LB-02(B) 1/2.7 http-vserver 172.16.100.10 https-vserver 172.16.100.20 M-FW ルールは外部セグメントからの通信は全て拒否し特定の送信元からの HTTP/HTTPS 通信のみ許可しております LB の内部にバーチャルサーバーを設定しておきます

移行時構成 1 Client 180.xxx.xxx.xxx/32 InterNet 153.xxx.xxx.xxx/32 Internet-GW(act).249.248 Internet-GW(stb) 192.168.30.0/24 ( 外部セグメント ) VRID 1 VIP.250 VRID 10 Port 4.101 VIP.254 Port 4.102 M-FW-01 (First unit) Port 5.101 VRID 20 Port 5.102 192.168.20.0/24(FWセグメント ) VIP.254 vfw-01 (Master) dp0s7.11 192.168.10.0/24(LB セグセグメント ) M-FW-02 (Second unit) VRID 30 dp0s4.11 VIP.251 dp0s4.12 VRID 40 VIP.254 vfw-02 (Back up) dp0s7.12 vsrx-01 vsrx-02 1/1.6 LB-01(M) 1/2.6 172.16.10.0/24( サーバセグメント ) VRID 50 VIP.251 Web-server-01 Copyright NTT Communications Corporation. All right reserved. 7.1 1/1.7 LB-02(B) 1/2.7 http-vserver 172.16.100.10 https-vserver 172.16.100.20 手順 1 vsrx 申込み手順 2 vsrx 設定 1. ファイアウォール設定 2. DNAT 設定

移行時構成 2 Client 180.xxx.xxx.xxx/32 InterNet 153.xxx.xxx.xxx/32 Internet-GW(act).249.248 Internet-GW(stb) 192.168.30.0/24 ( 外部セグメント ) VRID 1 VIP.250 M-FW-01 (First unit) M-FW-02 (Second unit) Port 5.101 VRID 20 Port 5.102 192.168.20.0/24(FWセグメント ) VIP.254 VRID 30 dp0s4.11 VIP.251 dp0s4.12 vfw-01 (Master) vfw-02 (Back up) vsrx-01 vsrx-02 192.168.10.0/24(LB セグセグメント ) 1/1.6 LB-01(M) 1/2.6 172.16.10.0/24( サーバセグメント ) VRID 50 VIP.251 Web-server-01 Copyright NTT Communications Corporation. All right reserved. 8.1 1/1.7 LB-02(B) 1/2.7 http-vserver 172.16.100.10 https-vserver 172.16.100.20 手順 3 M-FW 設定 1. IF 切断 ( 通信断発生 ) 手順 4 vfw 設定 1. IF 切断断時間 :40 分程度 ( 実測値 )

移行時構成 3 Client 180.xxx.xxx.xxx/32 InterNet 153.xxx.xxx.xxx/32 Internet-GW(act).249.248 Internet-GW(stb) 192.168.30.0/24 ( 外部セグメント ) VRID 1 VIP.250 VRID 10 VIP.254 M-FW-01 (First unit) M-FW-02 (Second unit) Port 5.101 VRID 20 Port 5.102 192.168.20.0/24(FWセグメント ) VIP.254 VRID 30 dp0s4.11 VIP.251 dp0s4.12 vfw-01 (Master) vfw-02 (Back up) ge-0/0/1.101 vsrx-01 (Master) ge-0/0/2.11 untrust zone trust zone ge-0/0/1.102 vsrx-02 (Back up) ge-0/0/2.12 192.168.10.0/24(LB セグセグメント ) VRID 40 VIP.254 1/1.6 LB-01(M) 1/2.6 172.16.10.0/24( サーバセグメント ) VRID 50 VIP.251 Web-server-01 Copyright NTT Communications Corporation. All right reserved. 9.1 1/1.7 LB-02(B) 1/2.7 http-vserver 172.16.100.10 https-vserver 172.16.100.20 手順 5 vsrx 設定 1. IF 接続 2. VRRP 設定 ( 通信断回復 ) 断時間 :40 分程度 ( 実測値 )

移行完了構成 Client 180.xxx.xxx.xxx/32 InterNet 153.xxx.xxx.xxx/32 Internet-GW(act).249.248 Internet-GW(stb) 192.168.30.0/24 ( 外部セグメント ) VRID 1 VIP.250 VRID 10 VIP.254 M-FW-01 (First unit) M-FW-02 (Second unit) Port 5.101 VRID 20 Port 5.102 192.168.20.0/24(FWセグメント ) VIP.254 VRID 30 dp0s4.11 VIP.251 dp0s4.12 vfw-01 (Master) vfw-02 (Back up) ge-0/0/1.101 vsrx-01 (Master) ge-0/0/2.11 untrust zone trust zone ge-0/0/1.102 vsrx-02 (Back up) ge-0/0/2.12 192.168.10.0/24(LB セグセグメント ) VRID 40 VIP.254 1/1.6 LB-01(M) 1/2.6 172.16.10.0/24( サーバセグメント ) VRID 50 VIP.251 1/1.7 LB-02(B) 1/2.7 http-vserver 172.16.100.10 https-vserver 172.16.100.20 Web-server-01 Copyright NTT Communications Corporation. All right reserved. 10.1

手順 1 vsrx 申込み下記リンクを参照の上 vsrx のお申し込みをお願いいたします https://ecl.ntt.com/documents/tutorials/rsts/vsrx/instance/create.html コントロールパネル画面にログイン後クラウドコンピューティングをクリックしネットワークファイアウォール vsrx をクリックしてください Copyright NTT Communications Corporation. All right reserved. 12

手順 2-1 vsrx 設定 ( ファイアウォール設定 ) ファイアウォールフィルターの設定は下記をご覧ください https://ecl.ntt.com/documents/tutorials/rsts/vsrx/fwfunction/zonebase/vsrx_zonebase.html ファイアウォールに論理的にゾーンと呼ばれる領域を作成しインターフェイスをゾーンに所属させます受信パケットに必要なポリシーをゾーンごとに設定するためゾーンに属するインターフェイスに対して同一のポリシーを適用させることが可能になりますゾーンベースファイアウォールを設定にはアドレスグループの設定アプリケーションセットの設定が必要になります Copyright NTT Communications Corporation. All right reserved. 16

手順 2-1 vsrx 設定 ( ファイアウォール設定 ) 下記 URL を参考にアドレスグループの設定をお願い致します https://ecl.ntt.com/documents/tutorials/rsts/vsrx/fwfunction/zonebase/vsrx_addressset.html パケットフィルタリングを設定する時に IP アドレスを条件にしたルールを設定することができ IP アドレスに簡易的な名称をつけてパケットフィルタリングの条件にすることが可能です複数の IP アドレスをグループ化する場合それぞれの IP アドレスに対してアドレスブックを作成し複数のアドレスブックを含んだアドレスセットを作成して下さい参考までに vsrx-01 の設定値は以下の通りです user@vsrx-01# set security address-book global address CLIENT_01 180.xxx.xxx.xxx/32 user@vsrx-01# set security address-book global address-set CLIENT_GROUP address CLIENT_01 user@vsrx-01# commit Copyright NTT Communications Corporation. All right reserved. 17

手順 2-1 vsrx 設定 ( ファイアウォール設定 ) 下記 URL を参考にアプリケーションセットの設定をお願い致します https://ecl.ntt.com/documents/tutorials/rsts/vsrx/fwfunction/zonebase/vsrx_applicationset.html vsrx にあらかじめ登録されているアプリケーションもしくは任意の名称をつけてアプリケーションを定義しパケットフィルタリングの条件にすることが可能です参考までに vsrx-01 の設定値は以下の通りです user@vsrx-01# set applications application HTTP_DEF protocol tcp destination-port 80 user@vsrx-01# set applications application HTTPS_DEF protocol tcp destination-port 443 user@vsrx-01# set applications application-set HTTP_HTTPS_DEF application HTTP_DEF user@vsrx-01# set applications application-set HTTP_HTTPS_DEF application HTTPS_DEF user@vsrx-01# commit Copyright NTT Communications Corporation. All right reserved. 18

手順 2-1 vsrx 設定 ( ファイアウォール設定 ) 作成したアドレスセットとアプリケーションセットを送信元とする通信 ( パケット ) に関して許可してそれ以外の通信 ( パケット ) はゾーンベースファイアウォールで遮断する設定を行います外部セグメントからの通信は全て拒否し特定の送信元 (180.xxx.xxx.xxx/32) からの HTTP/HTTPS 通信のみ許可する設定は下記になります user@vsrx-01# set security policies from-zone untrust to-zone trust policy PERMIT_GROUP match sourceaddress CLIENT_GROUP user@vsrx-01# set security policies from-zone untrust to-zone trust policy PERMIT_GROUP match destination-address any user@vsrx-01# set security policies from-zone untrust to-zone trust policy PERMIT_GROUP match application HTTP_HTTPS_DEF user@vsrx-01# set security policies from-zone untrust to-zone trust policy PERMIT_GROUP then permit user@vsrx-01# commit Copyright NTT Communications Corporation. All right reserved. 19

手順 2-2 vsrx 設定 (DNAT 設定 ) Destination NAT の設定は下記をご覧ください https://ecl.ntt.com/documents/tutorials/rsts/vsrx/network/nat/nat.html CLI でログイン後シェルコマンドモード > オペレーションモード > コンフィグレーションモードへ移行します宛先が 153.xxx.xxx.xxx/32 の HTTP/HTTPS 通信をロードバランサーの Virtual Server に変換致します参考までに vsrx-01 の設定値を次ページに記載します Copyright NTT Communications Corporation. All right reserved. 22

手順 2-2 vsrx 設定 (DNAT 設定 ) ロードバランサーの Virtual Server へアクセスする為の IP アドレス変換設定は下記になります user@vsrx-01# set security nat destination pool POOL1 address 172.16.100.10/24 port 80 user@vsrx-01# set security nat destination pool POOL2 address 172.16.100.20/24 port 443 user@vsrx-01# set security nat destination rule-set RULE1 from zone untrust user@vsrx-01# set security nat destination rule-set RULE1 rule RULE1-1 match destination-address 153.xxx.xxx.xxx/32 user@vsrx-01# set security nat destination rule-set RULE1 rule RULE1-1 match destination-port 80 user@vsrx-01# set security nat destination rule-set RULE1 rule RULE1-1 then destination-nat pool POOL1 user@vsrx-01# set security nat destination rule-set RULE1 rule RULE1-2 match destination-address 153.xxx.xxx.xxx/32 user@vsrx-01# set security nat destination rule-set RULE1 rule RULE1-2 match destination-port 443 user@vsrx-01# set security nat destination rule-set RULE1 rule RULE1-2 then destination-nat pool POOL2 user@vsrx-01# commit Copyright NTT Communications Corporation. All right reserved. 23

手順 3 M-FW の設定 ( インターフェースの切断 ) M-FW のインターフェースの設定が可能です https://ecl.ntt.com/documents/tutorials/security/rsts/security/operation/managed_firewall _utm/3110_interface_single.html コントロールパネル画面にログイン後セキュリティをクリックし Managed Firewall の Operation をクリックください Copyright NTT Communications Corporation. All right reserved. 26

手順 3 M-FW の設定 ( インターフェースの切断 ) [Manage Interfaces] の画面が開きます Port 2,3 は [Manage Interfaces] の画面には表示されません設定対象のポートをクリックで選択して [ 編集 ] をクリックします Copyright NTT Communications Corporation. All right reserved. 29

手順 5-1 vsrx 設定 ( インターフェース接続 ) vsrx に設定するインターフェイスに対して IP アドレスを設定し通信可能にするためには ECL2.0 のカスタマポータル上でインターフェイスと IP アドレスの設定を実行する必要があります vsrx のインターフェイスは ge-0/0/0 を除き初期状態でゾーンに所属させる設定がされておりません通信するためには必ずゾーンベースファイアウォールのいずれかのゾーンに所属させる必要がありますインターフェイスの IP アドレスに着信する通信を許可するためには host-inbound-traffic 配下で該当の通信を許可する設定が必要になります Copyright NTT Communications Corporation. All right reserved. 40

手順 5-1 vsrx 設定 ( インターフェース接続 ) 下記リンクを参照の上 ECL2.0 のカスタマポータル上で vsrx のインターフェース設定をお願いいたします https://ecl.ntt.com/documents/tutorials/rsts/vsrx/instance/update.html コントロールパネル画面にログイン後クラウドコンピューティングをクリックしネットワークファイアウォール vsrx をクリックしてください Copyright NTT Communications Corporation. All right reserved. 41

編集したいインターフェイスタブを開きこのインターフェイスを編集するにチェックを入れ接続先ロジカルネットワークと固定 IP アドレスを指定して下さい設定値を入力後ファイアウォールインターフェイスの編集をクリックして下さいこのインターフェイスを編集するに必ずチェックを入れてくださいチェックを入れない場合編集は反映されません参考までに以下は vsrx-01 の設定値となります手順 5-1 vsrx 設定 ( インターフェース接続 ) Copyright NTT Communications Corporation. All right reserved. 43

手順 5-1 vsrx 設定 ( インターフェース接続 ) 下記リンクを参照の上 CLI で vsrx のインターフェース設定をお願いいたします https://ecl.ntt.com/documents/tutorials/rsts/vsrx/basic/basic.html#vsrx-cli-ssh CLI でログイン後シェルコマンドモード > オペレーションモード > コンフィグレーションモードへ移行して下さい参考までに CLI にて入力するコマンドは下記となります本検証では host-inbound-traffic 設定にて ping を許可しております追加で許可するサービスやプロトコルがある場合は下記リンクを参照の上ご利用の環境で必要に応じて設定をお願い致します https://ecl.ntt.com/documents/tutorials/rsts/vsrx/fwfunction/zonebase/vsrx_zoneconfig.html user@vsrx-01# set interfaces ge-0/0/1 unit 0 family inet address 192.168.30.101/24 user@vsrx-01# set security zones security-zone untrust interfaces ge-0/0/1.0 host-inboundtraffic system-services ping user@vsrx-01# set interfaces ge-0/0/2 unit 0 family inet address 192.168.10.11/24 user@vsrx-01# set security zones security-zone trust interfaces ge-0/0/2.0 host-inbound-traffic system-services ping user@vsrx-01# commit Copyright NTT Communications Corporation. All right reserved. 44

手順 5-2 vsrx 設定 (VRRP 設定 ) 下記リンクを参照の上 ECL2.0 のカスタマポータル上で vsrx の VRRP 設定をお願いいたします https://ecl.ntt.com/documents/tutorials/rsts/vsrx/network/vrrp.html コントロールパネル画面にログイン後クラウドコンピューティングをクリックしネットワークファイアウォール vsrx をクリックしてください Copyright NTT Communications Corporation. All right reserved. 47

手順 5-2 vsrx 設定 (VRRP 設定 ) 編集したいインターフェイスタブを開きアドレスペアの追加をクリックして下さい外部セグメントと FW セグメントのインターフェースでアドレスペアの設定をお願いいたします設定値を入力後許可されたアドレスペアの更新をクリックして下さい参考までに以下は vsrx-01 の設定値となります Copyright NTT Communications Corporation. All right reserved. 49

手順 5-2 vsrx 設定 (VRRP 設定 ) 下記リンクを参照の上 CLI で vsrx の VRRP 設定をお願いいたします https://ecl.ntt.com/documents/tutorials/rsts/vsrx/network/vrrp.html#vrrp-vrrp CLI でログイン後シェルコマンドモード > オペレーションモード > コンフィグレーションモードへ移行します対象である全てのインターフェースに対して VRRP 設定を行った後 commit を入力してください参考までに vsrx-01 の設定値を下記に記載します user@vsrx-01# set interfaces ge-0/0/1 unit 0 family inet address 192.168.30.101/24 vrrp-group 10 virtual-address 192.168.30.254 user@vsrx-01# set interfaces ge-0/0/1 unit 0 family inet address 192.168.30.101/24 vrrp-group 10 priority 120 user@vsrx-01# set interfaces ge-0/0/1 unit 0 family inet address 192.168.30.101/24 vrrp-group 10 preempt user@vsrx-01# set interfaces ge-0/0/1 unit 0 family inet address 192.168.30.101/24 vrrp-group 10 accept-data user@vsrx-01# set interfaces ge-0/0/1 unit 0 family inet address 192.168.30.101/24 vrrp-group 10 advertise-interval [ 任意の値 user@vsrx-01# set interfaces ge-0/0/2 unit 0 family inet address 192.168.10.11/24 vrrp-group 40 virtual-address 192.168.10.254 user@vsrx-01# set interfaces ge-0/0/2 unit 0 family inet address 192.168.10.11/24 vrrp-group 40 priority 120 user@vsrx-01# set interfaces ge-0/0/2 unit 0 family inet address 192.168.10.11/24 vrrp-group 40 preempt user@vsrx-01# set interfaces ge-0/0/2 unit 0 family inet address 192.168.10.11/24 vrrp-group 40 accept-data user@vsrx-01# set interfaces ge-0/0/2 unit 0 family inet address 192.168.10.11/24 vrrp-group 40 advertise-interval [ 任意の値 ] user@vsrx-01# commit Copyright NTT Communications Corporation. All right reserved. 50

手順 5-2 vsrx 設定 (VRRP 設定 ) VRRP 機能を利用するためにはゾーンベースファイアウォール設定で VRRP を設定したゾーンもしくはインターフェイスで VRRP パケットを許可しておく必要があります CLI でログイン後シェルコマンドモード > オペレーションモード > コンフィグレーションモードへ移行します VRRP 設定をしている全てのインターフェースに対してゾーン設定を行います参考までに vsrx-01 の設定値を下記に記載します user@vsrx-01# set security zones security-zone untrust interfaces ge-0/0/1 host-inbound-traffic protocols vrrp user@vsrx-01# set security zones security-zone trust interfaces ge-0/0/2 host-inbound-traffic protocols vrrp user@vsrx-01# commit VRRP 設定が完了すると通信が回復します下記コマンドで vsrx-01 の VRRP 状態が確認できます user@vsrx-01> show vrrp Interface State Group VR state VR Mode Timer Type Address ge-0/0/1.0 up 10 master Active A 1.151 lcl 192.168.30.101 vip 192.168.30.254 ge-0/0/2.0 up 40 master Active A 1.183 lcl 192.168.10.11 vip 192.168.10.254 Copyright NTT Communications Corporation. All right reserved. 51