R80.10 ファイアウォール設定ガイド 1
はじめに 本ガイドでは基本的な FireWall ポリシーを作成することを目的とします 基本的な Security Management Security Gateway はすでにセットアップ済みであることを想定しています 分散構成セットアップ ガイド スタンドアロン構成セットアップ ガイド等を参照してください [Protected] Distribution or modification is subject to approval 2
サンプル構成 10.0.0.0/24 のユーザがインターネットにアクセスできるようにします 192.168.100.1 (DNS サーバ兼務 ) Internet External:192.168.100.0/24 Security Gateway 3200 eth1: 192.168.100.41 Mgmt: 10.0.0.10 Mgmt: 10.0.0.11 10.0.0.12 Internal:10.0.0.0/24 Security Management Smart-1 405 管理 PC 3
はじめに SmartConsole ログイン FireWall ブレードの有効化 [Protected] Distribution or modification is subject to approval 4
SmartConsole ログイン Security Management サーバに SmartConsole でログインします 5
FireWall ブレードの有効化 ( 確認 ) Security Gateway オブジェクトをダブルクリックしてプロパティを編集します 購入した Software Blade に応じて有効化したい機能を選択します ここでは Firewall のチェックが入っていることを確認します 6
オブジェクト オブジェクトとは オブジェクトの作成 オブジェクトによる NAT [Protected] Distribution or modification is subject to approval 7
オブジェクトとは FireWall ルールの Source/Destination/Service 等には事前に作成したオブジェクトを利用します IP アドレスやポートをそのままルールに使用することはできません オブジェクトの例 ホスト オブジェクト 1 つの IP アドレスを定義するオブジェクトです ネットワーク オブジェクト ネットワーク ( サブネット ) を定義するオブジェクトです サービス オブジェクト サービス情報 ( ポート番号 ) を定義するオブジェクトです 8
ネットワーク オブジェクトの作成内部ネットワーク (1) 内部ネットワークをネットワーク オブジェクト Internal_Net として登録します オブジェクト名 : Internal_Net Network address : 10.0.0.0 Net mask : 255.255.255.0 9
ネットワーク オブジェクトの作成内部ネットワーク (2) ネットワーク オブジェクトの NAT オプションを利用すると 対象のネットワーク通信に対して NAT を設定することができます NAT ページを選択して Add automatic address translation rules をチェックします Translation method は Hide を選択します Hide behind the gateway を選択するとゲートウェイのインタフェースの IP アドレスに変換されます 10
参考 :NAT の種類 NAT の種とは 2 種類あります Hide N : 1 の NAT を行います プライベート IP アドレスを持つ PC 等がインターネットにアクセスするような場合に利用されます Linux の IP マスカレードに相当します Static 1 : 1 または N : N の NAT を行います サーバをインターネットに公開したいような場合に利用します 11
参考 :NAT ルール オブジェクトで NAT 設定を行うと自動的に NAT ルールが作成されます 12
ホスト オブジェクトの作成 DNS サーバ DNS サーバをホスト オブジェクト DNS_Server として登録します オブジェクト名 : DNS_Server IPv4 address : 192.168.100.1 13
ホスト オブジェクトの作成管理クライアント 管理用 PC をホスト オブジェクト Admin_PC として登録します オブジェクト名 : Admin_PC IPv4 address : 10.0.0.12 14
参考 : グループ オブジェクト 複数のオブジェクトをひとまとめにするグループ オブジェクトを作成することができます 例えば Web サーバ群 R&D メンバなどをグループとして登録しておくと グループ オブジェクトでルールを作成することができます メンバが変更になった場合でもルールは変更せず グループの中身を変更するだけでポリシーの変更を行えます 15
参考 : サービス オブジェクト 事前定義に無いサービス ( ポート ) を制御するルールを作成する場合はサービス オブジェクトを利用します サービス オブジェクトでは TCP や UDP の特定のポートを指定することができます 16
便利な機能 それぞれのオブジェクトには色 コメント タグを付けることができます 色の設定タグの設定コメントの設定 17
ポリシーの作成 FireWall ポリシー ポリシー作成操作 18
FireWall ポリシーの考え方 FireWall ルールは 1 番目のルールから順番に通信がマッチするか調べます 戻りのパケットに関するルールは記述する必要はありません 一番最初にマッチしたルールが適用されます マッチするルールが無い場合デフォルトでは通信は Drop されます FireWall ルールは Source Destination Service を基準にし マッチした場合の Action として Accept または Drop を指定できます 19
FireWall ポリシーの要件 内部の PC はインターネットへアクセスできる (HTTP/HTTPS) 内部の PC は外部の DNS サーバにアクセスできる インターネットへのアクセスには DNS が必要 内部の PC がインターネットにアクセスする際は NAT を行い Security Gateway の IP アドレスでアクセスする 20
セキュリティ ポリシー デフォルトではすべてブロックするルールが入っているため 必要なルールを作成します [Protected] Distribution or modification is subject to approval 21
ルール ( 行 ) の追加 Add rule above をクリックすると 選択したルールの上にルールが 1 行追加されます Add rule below をクリックすると 選択したルールの下にルールが 1 行追加されます 22
カラムの編集 (Source/Destination) Source/Destination カラムで + をクリックするとオブジェクト選択画面が開き 登録済みのオブジェクトをピックアップ ( + をクリック ) して追加できます ここでは DNS_Server の + をクリックしてルールに追加します Search を利用するとキーワード検索を行いオブジェクトの絞込みができます 23
カラムの編集 (Service & Application) Service & Application カラムで + をクリックするとオブジェクト選択画面が開き 登録済みのオブジェクトをピックアップ ( + をクリック ) して追加できます ここでは dns の + をクリックしてルールに追加します Search を利用するとキーワード検索を行いオブジェクトの絞込みができます 24
カラムの編集 (Action) Action カラムをクリックして通信に対するアクションを指定できます ここでは Accept を選択します 25
カラムの編集 (Track) Track カラムをクリックしてルールにマッチした通信のログ取得を指定します ここでは Log を選択します ( ログの取得を行う ) 26
ルールの作成 ルールが 1 行完成しました 27
その他のオペレーション (1) ルールの No. カラムをドラッグ & ドロップすることでルールの移動が行えます 28
その他のオペレーション (2) ルールを右クリックして Disable を選択するとルールを無効化できます 29
作成するルール 同様の手順を繰り返して以下のようなルールを作成します ルール1: すべての発信元から DNS サーバへの通信を許可 ルール2: Internal_Net から Any ( 外部 ) へ http と https 通信を許可 ルール3: Admin_PC から r8010gw に通信を許可 ( 管理用 ) ルール4: クリーンアップ ルールで上記以外を破棄 ルールは上から順番に評価され 最初にマッチしたルールに従って処理されます 30
参考 : 複数のポリシー Security Management では複数のポリシーを管理することができます 複数の Security Gateway を管理するような場合に それぞれ別のポリシーを割り当てることもできます 既存のポリシーを開きます 新しいポリシーを作成します 31
セッションとポリシー インストール セッションの公開 ポリシー インストール 32
セッションの公開 編集中のポリシーは 自分 だけが見える状態になっています 公開 (Publish) を行うと 自分の行った変更が公開され すべての管理者から変更されたポリシーが見える状態になります 破棄 (Discard) を選択するとセッションの中で行った変更を破棄し 元の状態に戻すことができます 33
ポリシー インストール ポリシーを作成 ( 編集 ) し 公開したとしても その段階では内容はまだゲートウェイには反映されません Install Policy を実行するとポリシーがゲートウェイに反映されます Access Control と Threat Prevention を個別にインストールできます 複数のポリシーを管理している場合 ポリシーの選択画面が表示されます 34
参考 : 複数のポリシーを管理している場合 複数のポリシーを管理している場合 どのポリシーをインストールするか選択します 35
参考 : ポリシー タブからのインストール ポリシー タブから Install Policy を行うこともできます この場合 前ページのようなポリシー選択画面は表示されません 選択しているタブのポリシーのインストールを行います 36
参考 : 複数の Security Gateway の管理 インストール対象の Security Gateway が複数ある場合 どの Security Gateway にポリシーをインストールするか選択することができます Policy Target オプションでポリシー毎に特定の Security Gateway のみを対象にすることもできます 指定外の Security Gateway はリストに表示されません 37
ポリシー インストール ステータス SmartConsole 左下にポリシー インストールのステータスが表示されます エラーになった場合はエラーの内容に従って対応します 38
通信テスト 以上で FireWall の設定は完了です 正しく設定されていると PC からインターネットへアクセスできるようになります Yahoo や Google 等へアクセスしてみましょう [Protected] Distribution or modification is subject to approval 39
ログ ログの見方 ログの検索 ( フィルタ ) 40
ログ (1) Logs & Monitor ページでログを確認できます 各レコードをダブルクリックすると詳細を確認できます ( 次ページ ) 41
ログ (2) 最新の状態に更新 検索 各レコードをダブルクリックするとログの詳細を確認できます 42
ログのカテゴリ表示 Queries には事前定義の表示パターンが用意されています 例えば Application Control を選択すると Application Control のログだけを表示することができます [Protected] Distribution or modification is subject to approval 43
ログのフィルタ AND/OR/NOT 条件等でログを検索できます AND 条件の例 OR 条件の例 [Protected] Distribution or modification is subject to approval 44
ログ表示カラム ログとして表示されるカラムは変更可能です Automatic Profile Selection が選択されていると表示可能なログにより自動的に表示カラム ( プロファイル ) を切り替えます ( デフォルト ) Column Profile で表示パターンを手動で選択することもできます Edit Profile で任意のパターンに変更することもできます タイトル上で右クリック [Protected] Distribution or modification is subject to approval 45
ポリシーでのログ表示 1 2 ルールを選択すると Log ページで対象ルールに関するログだけを表示できます [Protected] Distribution or modification is subject to approval 46
別ウインドウでログ表示 ログは別ウインドウで表示することもできます 複数開くことも可能です [Protected] Distribution or modification is subject to approval 47
THANK YOU [Protected] Distribution or modification is subject to approval 48