R80.10_FireWall_Config_Guide_Rev1

Similar documents
PowerPoint Presentation

R80.10_Distributed_Config_Guide_Rev1

R76/Gaia ブリッジ構成設定ガイド

Mobile Access簡易設定ガイド

Managed Firewall NATユースケース

Amazon Web Services 向け先進のセキュリティ! Amazon パブリック クラウド用仮想アプライアンス Public Cloud チェック ポイントの Software Blade が Amazon Public Cloud 上で展開可能となりました 2014 Check Poin

Mobile Access IPSec VPN設定ガイド

R76 Application Control & URL Filtering Guide

2

シナリオ:DMZ の設定

PowerPoint プレゼンテーション

改訂履歴 版番号改訂日改訂者改訂内容 年 2 月 12 日ネットワールド 新規 I

conf_example_260V2_inet_snat.pdf

なお ここでは ECL2.0 のロジカルネットワークを下記のような設定で作成しております お客さまの NW 構成に応じて適宜 アドレスを変更してください ロジカルネットワーク1( インターネット側 ) サブネット名 :sub-nw-inet 01 ネットワークアドレス : /

SAMBA Stunnel(Mac) 編 1. インストール 1 セキュア SAMBA の URL にアクセスし ログインを行います xxxxx 部分は会社様によって異なります xxxxx 2 Mac OS 版ダウンロー

SURFNAVIへのW2003SP2適用時の注意

SAMBA Stunnel(Windows) 編 1. インストール 1 セキュア SAMBA の URL にアクセスし ログインを行います xxx 部分は会社様によって異なります xxxxx 2 Windows 版ダウンロード ボ

アプリケーション インスペクションの特別なアクション(インスペクション ポリシー マップ)

LSFE_FW

KDDI ホスティングサービス G120 KDDI ホスティングサービス G200 WordPress インストールガイド ( ご参考資料 ) rev.1.2 KDDI 株式会社 1

PC にソフトをインストールすることによって OpenVPN でセキュア SAMBA へ接続することができます 注意 OpenVPN 接続は仮想 IP を使用します ローカル環境にて IP 設定が被らない事をご確認下さい 万が一仮想 IP とローカル環境 IP が被るとローカル環境内接続が行えなくな

Hik-Connect アカウントにデバイスを追加する方法ユーザーは Hik-Connect APP ウェブポータル ivms4500 アプリまたは ivms クライアント経由で Hik-Connect 機能を有効にすることができます 注 : iv

Microsoft Word - ID32.doc

在学生向けメールサービス

UNIVERGE SG3000 から SG3600 Ver.6.2(2012 年モデル ) への 移行手順 All Rights Reserved, Copyright(C) NEC Corporation 2017 年 11 月 4 版

( 目次 ) 1. XOOPSインストールガイド はじめに 制限事項 サイト初期設定 XOOPSのインストール はじめに データベースの作成 XOOPSのインストール

2. Save をクリックします 3. System Options - Network - TCP/IP - Advanced を開き Primary DNS server と Secondary DNS Server に AXIS ネットワークカメラ / ビデオエンコーダが参照できる DNS サ

Microsoft Word - SSI_Smart-Trading_QA_ja_ doc

Cisco Start Firewall Cisco ASA 5506-X PAT(Port Address Translation) の設定 2016 年 3 月 23 日 第 1.1 版 株式会社ネットワールド

改訂履歴 版番号改訂日改訂者改訂内容 年 2 月 9 日ネットワールド 新規 I

任意の間隔での FTP 画像送信イベントの設定方法 はじめに 本ドキュメントでは AXIS ネットワークカメラ / ビデオエンコーダにおいて任意の間隔で画像を FTP サー バーへ送信するイベントの設定手順を説明します 設定手順手順 1:AXIS ネットワークカメラ / ビデオエンコーダの設定ページ

改訂履歴 版番号改訂日改訂者改訂内容 年 2 月 9 日ネットワールド 新規 I

IBM Proventia Management/ISS SiteProtector 2.0

音声認識サーバのインストールと設定

NAC(CCA): ACS 5.x 以降を使用した Clean Access Manager での認証の設定

8021.X 認証を使用した Web リダイレクトの設定

( 目次 ) 1. Joomla! インストールガイド はじめに 制限事項 サイト初期設定 Joomla! のインストール はじめに データベースの作成 Joomla! のインストール...

( 目次 ) 1. はじめに 開発環境の準備 仮想ディレクトリーの作成 ASP.NET のWeb アプリケーション開発環境準備 データベースの作成 データベースの追加 テーブルの作成

Windows Server 2003 Service Pack 適用手順書

SAMBA Remote(Mac) 編 PC にソフトをインストールすることによって OpenVPN でセキュア SAMBA へ接続することができます 注意 OpenVPN 接続は仮想 IP を使用します ローカル環境にて IP 設定が被らない事をご確認下さい 万が一仮想 IP とローカル環境 IP

障害およびログの表示

Team Foundation Server 2018 を使用したバージョン管理 補足資料

クラスタ構築手順書

スライド 1

Upload path ファイル送信先ディレクトリのパスを指定します ホームディレクトリに画像を送信する場合は空白のまま サブディレクトリに画像を送信する場合はディレクトリ名を指定します さらに下位のディレクトリを指定する場合は \ マークを利用します 例 ) ホームディレクトリ以下の camera

クイックセットアップ for モバイル(iOS/Android)

適応型セキュリティ アプライ アンスの設定

( 目次 ) 1. PukiWiki インストールガイド はじめに 制限事項 サイト初期設定 PukiWiki のインストール はじめに データベースの作成 PukiWiki

1. 概要 この章では HDE Controller X LG Edition をお使いの方に向けて LGWAN 接続に特化した設定の説明をします HDE Controller X LG Edition 以外の製品をご利用のお客様はこの章で解説する機能をお使いになれませんのでご注意ください 452

Microsoft Word JA_revH.doc

現象

目次 メールの基本設定内容 2 メールの設定方法 Windows Vista / Windows 7 (Windows Live Mail) Windows 8 / Windows 10 (Mozilla Thunderbird) 3 5 Windows (Outlook 2016) メ

McAfee Firewall for Linux リリース ノート

iStorage ソフトウェア VMware vCenter Plug-in インストールガイド

注意 : ネットワークカメラの画像を回転させて表示した場合 モーション検知ウインドウは回転しないまま表示されますが 検知ウインドウは被写体に対して 指定した場所通りに動作します モーション検知ウインドウの縦横のサイズは 8 ピクセルで割り切れるサイズに自動調整されます モーション検知ウインドウを作成

VPN ユーザを管理し、RV016、RV042、RV042G および RV082 VPN ルータの速い VPN を設定して下さい

Upload path ファイル送信先ディレクトリのパスを指定します ホームディレクトリに画像を送信する場合は空白のまま サブディレクトリに画像を送信する場合はディレクトリ名を指定します さらに下位のディレクトリを指定する場合は \ マークを利用します 例 ) ホームディレクトリ以下の camera

VPN 接続の設定

( 目次 ) 1. WordPressインストールガイド はじめに 制限事項 サイト初期設定 WordPressのインストール ( コントロールパネル付属インストーラより ) WordPressのインストール ( 手動インス

Microsoft Word - プリンター登録_Windows XP Professional.doc

適応型セキュリティ アプライ アンスの設定

1. Microsoft Loopback Adapter のインストール 1) ノートパソコンにおいて そのパソコンの管理者アカウントによりログオンします 2) [ スタート ] > コントロールパネルを開きます 3) 表示方法 : カテゴリの場合には ハードウェアとサウンド > デバイスマネージ

Syslog、SNMPトラップ監視の設定



株式会社スタッフ アンド ブレーン Rev 1.0 次世代ファイアウォール USG シリーズ設定例 Windows OS での VPN 接続 (L2TP over IPSec VPN 接続 ) について 構成例 Windows OS での VPN 接続 インターネット 社内環境 USG 回線終端装置

Symantec AntiVirus の設定

Vista IE7 ブラウザの設定手順

(8) [ 全般 ] タブをクリックします (9) [ インターネット一時ファイル ] の [ 設定 ] ボタンをクリックします (10) [ 保存しているページの新しいバージョンの確認 ] から [ ページを表示するごとに確認する ] をクリックします (11) [OK] ボタンをクリックしていき

クイックセットアップ for モバイル(Windows)

Microsoft Word - FortiGate-iPhone_VPN_Setup-Guide_v1.0_J_ doc

目次 1. はじめに 本マニュアルの目的 注意事項 前提条件 接続手順 Windows 教職員 学生持込端末 教職員 学生持込端末用無線 LAN 接続

1. WebShare 編 1.1. ログイン / ログアウト ログイン 1 WebShare の URL にアクセスします xxxxx 部分は会社様によって異なります xxxxx. 2 ログイン名 パスワードを入力し

Biz/Designer Vインストールガイド

クイックセットアップ for モバイル(iOS/Android)

Microsoft Word - GXS?C?“?^?[?l?b?gVPN?T?[?r?X?N?‰?C?A?“?g?A?N?Z?X?Z?b?g?A?b?v?K?C?h GXS-V docx

クイックセットアップ for モバイル(Windows)

インターネット EDI システムを使用する前の準備 目次 動作環境について... 2 Internet Explorer7.0 / 8.0 をご利用の場合の設定方法... 3 [1] インターネット EDI システムを利用するための標準的な設定... 3 [2] ブラウザ型で帳票を利用する場合に必要

アライドテレシス・コアスイッチ AT-x900 シリーズとディストリビューションスイッチ AT-x600 シリーズで実現するACLトラフィックコントロール

Microsoft Word - ShareFastClientManual_JP_R1-1-0.doc

ANSYS 17.0 クイックインストールガイド Windows 版

_mokuji_2nd.indd

BizBrowser SmartDevice Android開発用スタートアップガイド

zabbix エージェント インストールマニュアル [Windows Server] 第 1.2 版 2018 年 05 月 18 日 青い森クラウドベース株式会社

ブラウザ Internet Explorer 7 の設定について 第3版

改訂履歴 版番号改訂日改訂者改訂内容 年 2 月 5 日ネットワールド 新規 I

改訂履歴 版番号改訂日改訂者改訂内容 年 2 月 16 日ネットワールド 新規 I

Microsoft PowerPoint - Tutorial_2_upd.ppt

1. サーバーの作成 本ガイドの Photon の構成は バランシングを行うフロントサーバーとして Master Server 用のサーバーを 1 つ 実際にゲームを動かすサーバーとして Game Server 用のサーバーを必要数作成します 本ガイドの構成例 GMO アプリクラウド ロードバランサ

AP-700/AP-4000 eazy setup

ポップアップブロックの設定

目次 1. PDF 変換サービスの設定について )Internet Explorer をご利用の場合 )Microsoft Edge をご利用の場合 )Google Chrome をご利用の場合 )Mozilla Firefox をご利

目次 2 1 PC Control Utility PD 1 について 動作環境

Microsoft Word - SSL-VPN接続サービスの使い方

1. サーバーの作成 本ガイドの Photon の構成は バランシングを行うフロントサーバーとして Master Server 用のサーバーを 1 つ 実際にゲームを動かすサーバーとして Game Server 用のサーバーを必要数作成します 本ガイドの構成例 GMO アプリクラウド ロードバランサ

InfoPrint 5577/5579 ネットワーク設定ガイド(第3章 Windows 98/Me環境で使用する)

Vectorworksサイトプロテクションネットワーク版-情報2

動体検知によるメール送信イベントの設定方法(ファームウェアⅴ7.1ⅹ以上)

Syslog、SNMPトラップ監視の設定

HP Device Manager4.7インストール・アップデート手順書

RADIUS サーバを使用して NT のパスワード期限切れ機能をサポートするための Cisco VPN 3000 シリーズ コンセントレータの設定

Transcription:

R80.10 ファイアウォール設定ガイド 1

はじめに 本ガイドでは基本的な FireWall ポリシーを作成することを目的とします 基本的な Security Management Security Gateway はすでにセットアップ済みであることを想定しています 分散構成セットアップ ガイド スタンドアロン構成セットアップ ガイド等を参照してください [Protected] Distribution or modification is subject to approval 2

サンプル構成 10.0.0.0/24 のユーザがインターネットにアクセスできるようにします 192.168.100.1 (DNS サーバ兼務 ) Internet External:192.168.100.0/24 Security Gateway 3200 eth1: 192.168.100.41 Mgmt: 10.0.0.10 Mgmt: 10.0.0.11 10.0.0.12 Internal:10.0.0.0/24 Security Management Smart-1 405 管理 PC 3

はじめに SmartConsole ログイン FireWall ブレードの有効化 [Protected] Distribution or modification is subject to approval 4

SmartConsole ログイン Security Management サーバに SmartConsole でログインします 5

FireWall ブレードの有効化 ( 確認 ) Security Gateway オブジェクトをダブルクリックしてプロパティを編集します 購入した Software Blade に応じて有効化したい機能を選択します ここでは Firewall のチェックが入っていることを確認します 6

オブジェクト オブジェクトとは オブジェクトの作成 オブジェクトによる NAT [Protected] Distribution or modification is subject to approval 7

オブジェクトとは FireWall ルールの Source/Destination/Service 等には事前に作成したオブジェクトを利用します IP アドレスやポートをそのままルールに使用することはできません オブジェクトの例 ホスト オブジェクト 1 つの IP アドレスを定義するオブジェクトです ネットワーク オブジェクト ネットワーク ( サブネット ) を定義するオブジェクトです サービス オブジェクト サービス情報 ( ポート番号 ) を定義するオブジェクトです 8

ネットワーク オブジェクトの作成内部ネットワーク (1) 内部ネットワークをネットワーク オブジェクト Internal_Net として登録します オブジェクト名 : Internal_Net Network address : 10.0.0.0 Net mask : 255.255.255.0 9

ネットワーク オブジェクトの作成内部ネットワーク (2) ネットワーク オブジェクトの NAT オプションを利用すると 対象のネットワーク通信に対して NAT を設定することができます NAT ページを選択して Add automatic address translation rules をチェックします Translation method は Hide を選択します Hide behind the gateway を選択するとゲートウェイのインタフェースの IP アドレスに変換されます 10

参考 :NAT の種類 NAT の種とは 2 種類あります Hide N : 1 の NAT を行います プライベート IP アドレスを持つ PC 等がインターネットにアクセスするような場合に利用されます Linux の IP マスカレードに相当します Static 1 : 1 または N : N の NAT を行います サーバをインターネットに公開したいような場合に利用します 11

参考 :NAT ルール オブジェクトで NAT 設定を行うと自動的に NAT ルールが作成されます 12

ホスト オブジェクトの作成 DNS サーバ DNS サーバをホスト オブジェクト DNS_Server として登録します オブジェクト名 : DNS_Server IPv4 address : 192.168.100.1 13

ホスト オブジェクトの作成管理クライアント 管理用 PC をホスト オブジェクト Admin_PC として登録します オブジェクト名 : Admin_PC IPv4 address : 10.0.0.12 14

参考 : グループ オブジェクト 複数のオブジェクトをひとまとめにするグループ オブジェクトを作成することができます 例えば Web サーバ群 R&D メンバなどをグループとして登録しておくと グループ オブジェクトでルールを作成することができます メンバが変更になった場合でもルールは変更せず グループの中身を変更するだけでポリシーの変更を行えます 15

参考 : サービス オブジェクト 事前定義に無いサービス ( ポート ) を制御するルールを作成する場合はサービス オブジェクトを利用します サービス オブジェクトでは TCP や UDP の特定のポートを指定することができます 16

便利な機能 それぞれのオブジェクトには色 コメント タグを付けることができます 色の設定タグの設定コメントの設定 17

ポリシーの作成 FireWall ポリシー ポリシー作成操作 18

FireWall ポリシーの考え方 FireWall ルールは 1 番目のルールから順番に通信がマッチするか調べます 戻りのパケットに関するルールは記述する必要はありません 一番最初にマッチしたルールが適用されます マッチするルールが無い場合デフォルトでは通信は Drop されます FireWall ルールは Source Destination Service を基準にし マッチした場合の Action として Accept または Drop を指定できます 19

FireWall ポリシーの要件 内部の PC はインターネットへアクセスできる (HTTP/HTTPS) 内部の PC は外部の DNS サーバにアクセスできる インターネットへのアクセスには DNS が必要 内部の PC がインターネットにアクセスする際は NAT を行い Security Gateway の IP アドレスでアクセスする 20

セキュリティ ポリシー デフォルトではすべてブロックするルールが入っているため 必要なルールを作成します [Protected] Distribution or modification is subject to approval 21

ルール ( 行 ) の追加 Add rule above をクリックすると 選択したルールの上にルールが 1 行追加されます Add rule below をクリックすると 選択したルールの下にルールが 1 行追加されます 22

カラムの編集 (Source/Destination) Source/Destination カラムで + をクリックするとオブジェクト選択画面が開き 登録済みのオブジェクトをピックアップ ( + をクリック ) して追加できます ここでは DNS_Server の + をクリックしてルールに追加します Search を利用するとキーワード検索を行いオブジェクトの絞込みができます 23

カラムの編集 (Service & Application) Service & Application カラムで + をクリックするとオブジェクト選択画面が開き 登録済みのオブジェクトをピックアップ ( + をクリック ) して追加できます ここでは dns の + をクリックしてルールに追加します Search を利用するとキーワード検索を行いオブジェクトの絞込みができます 24

カラムの編集 (Action) Action カラムをクリックして通信に対するアクションを指定できます ここでは Accept を選択します 25

カラムの編集 (Track) Track カラムをクリックしてルールにマッチした通信のログ取得を指定します ここでは Log を選択します ( ログの取得を行う ) 26

ルールの作成 ルールが 1 行完成しました 27

その他のオペレーション (1) ルールの No. カラムをドラッグ & ドロップすることでルールの移動が行えます 28

その他のオペレーション (2) ルールを右クリックして Disable を選択するとルールを無効化できます 29

作成するルール 同様の手順を繰り返して以下のようなルールを作成します ルール1: すべての発信元から DNS サーバへの通信を許可 ルール2: Internal_Net から Any ( 外部 ) へ http と https 通信を許可 ルール3: Admin_PC から r8010gw に通信を許可 ( 管理用 ) ルール4: クリーンアップ ルールで上記以外を破棄 ルールは上から順番に評価され 最初にマッチしたルールに従って処理されます 30

参考 : 複数のポリシー Security Management では複数のポリシーを管理することができます 複数の Security Gateway を管理するような場合に それぞれ別のポリシーを割り当てることもできます 既存のポリシーを開きます 新しいポリシーを作成します 31

セッションとポリシー インストール セッションの公開 ポリシー インストール 32

セッションの公開 編集中のポリシーは 自分 だけが見える状態になっています 公開 (Publish) を行うと 自分の行った変更が公開され すべての管理者から変更されたポリシーが見える状態になります 破棄 (Discard) を選択するとセッションの中で行った変更を破棄し 元の状態に戻すことができます 33

ポリシー インストール ポリシーを作成 ( 編集 ) し 公開したとしても その段階では内容はまだゲートウェイには反映されません Install Policy を実行するとポリシーがゲートウェイに反映されます Access Control と Threat Prevention を個別にインストールできます 複数のポリシーを管理している場合 ポリシーの選択画面が表示されます 34

参考 : 複数のポリシーを管理している場合 複数のポリシーを管理している場合 どのポリシーをインストールするか選択します 35

参考 : ポリシー タブからのインストール ポリシー タブから Install Policy を行うこともできます この場合 前ページのようなポリシー選択画面は表示されません 選択しているタブのポリシーのインストールを行います 36

参考 : 複数の Security Gateway の管理 インストール対象の Security Gateway が複数ある場合 どの Security Gateway にポリシーをインストールするか選択することができます Policy Target オプションでポリシー毎に特定の Security Gateway のみを対象にすることもできます 指定外の Security Gateway はリストに表示されません 37

ポリシー インストール ステータス SmartConsole 左下にポリシー インストールのステータスが表示されます エラーになった場合はエラーの内容に従って対応します 38

通信テスト 以上で FireWall の設定は完了です 正しく設定されていると PC からインターネットへアクセスできるようになります Yahoo や Google 等へアクセスしてみましょう [Protected] Distribution or modification is subject to approval 39

ログ ログの見方 ログの検索 ( フィルタ ) 40

ログ (1) Logs & Monitor ページでログを確認できます 各レコードをダブルクリックすると詳細を確認できます ( 次ページ ) 41

ログ (2) 最新の状態に更新 検索 各レコードをダブルクリックするとログの詳細を確認できます 42

ログのカテゴリ表示 Queries には事前定義の表示パターンが用意されています 例えば Application Control を選択すると Application Control のログだけを表示することができます [Protected] Distribution or modification is subject to approval 43

ログのフィルタ AND/OR/NOT 条件等でログを検索できます AND 条件の例 OR 条件の例 [Protected] Distribution or modification is subject to approval 44

ログ表示カラム ログとして表示されるカラムは変更可能です Automatic Profile Selection が選択されていると表示可能なログにより自動的に表示カラム ( プロファイル ) を切り替えます ( デフォルト ) Column Profile で表示パターンを手動で選択することもできます Edit Profile で任意のパターンに変更することもできます タイトル上で右クリック [Protected] Distribution or modification is subject to approval 45

ポリシーでのログ表示 1 2 ルールを選択すると Log ページで対象ルールに関するログだけを表示できます [Protected] Distribution or modification is subject to approval 46

別ウインドウでログ表示 ログは別ウインドウで表示することもできます 複数開くことも可能です [Protected] Distribution or modification is subject to approval 47

THANK YOU [Protected] Distribution or modification is subject to approval 48

2024 © docsplayer.net プライバシー | 利用規約 | フィードバック