ファイアウォール 基礎教育 (2日目)
Agenda(2日目) 基本的な設定(L2モード) 管理系設定 設定練習
NetScreen(L2モード) ・NetScreenは、ファイアウォールの機能を生かしたまま L2モード(switch)で稼動することが可能です。 メリット:同じセグメントでもポリシー制御を行うことができる。 デメリット:一つのセグメントしか使用できない。 ・設定の方法はコマンドラインベース(CLI)を紹介します。 webでも設定可能ですが、通信断が発生するため結局 CLIで設定を行う必要が出てきます。
NetScreen(L2モード) 基本的な設定(L2モード) - 1 1. unset int trust ip (trustのipを無効にしている) 2. unset int trust zone (trustのzoneを無効にしている) 3. unset int untrust ip (untrustのipを無効にしている) 4. unset int untrust zone (untrustのzoneを無効にしている) 5. set interface trust zone V1-Trust 6. set interface untrust zone V1-Untrust ※上記1~5を設定した段階で、L2モードに落ちる 。 ※ L2用のzoneを適応 。上記ゾーンはデフォルトであります。 zoneを適用したあと“ Changed to pure l2 mode “と表示 されればOKです。
NetScreen(L2モード) 基本的な設定(L2モード) - 2 Vlan1の管理IPアドレスを指定 サブネットマスクを指定 7. set int vlan1 ip xxx.xxx.xxx.xxx xxx.xxx.xxx.xxx ※ manage-ipの設定 ・VlanにIPアドレスを設定しておくと管理するときに便利です。 -WEBで設定確認。 -pingによる通信確認。 etc.
NetScreen(L2モード) 基本的な設定(L2モード) - 3 接続可能なIPアドレスの指定 8. set admin manager-ip xxx.xxx.xxx.xxx ※ デフォルトのままだと同じセグメントの端末はすべてweb管理 コンソールに接続可能となってしまうのでマネージャーIPを指定する。 セキュリティも向上するので必ず設定してください。
NetScreen(初期設定) 基本的な設定(L2モード) - 4 LANケーブルをTrustゾーンのポートへ接続 Webブラウザを立ち上げ先ほどコマンドラインで設定したアドレス へアクセスする。 set int vlan1 ip xxx.xxx.xxx.xxx
NetScreen(初期設定) 基本的な設定(L2モード) - 5 xxx.xxx.xxx.xxx (先ほど設定したIPアドレス)
インターフェースのL2確認 基本的な設定(L2モード) - 6 ① Network>Interfaces を選択 ② TypeがLayer2になっていることを確認
NTP設定(時刻合わせ①) ① Configuration>Date/Timeを選択 日本は+9 動的時刻合わせ
DNS設定 ① Network>DNS>Host を選択 ② FWのホスト名を入力 ③ プライマリDNSアドレス入力 ⑤ 必ずここで決定すること。 (Applyしないと設定が反映されません)
DHCP設定① ① Network>DHCP を選択 ② デフォルトはServerに なっているのを確認。 ③ Editをクリック
DHCP設定② ~DHCPサーバ無効~ ② DHCPを無効にする ① デフォルトではDHCPサーバが有効になっている ③ 「Apply」ボタンをクリック
DHCP設定③ ~DHCPサーバ有効~ ① Network>DHCP を選択 ② DHCPサーバの設定を行う場合はここをクリック
DHCP設定④ ~DHCPサーバ有効~ 「Edit」ボタンをクリック
DHCP設定⑤ ~DHCPサーバ有効~ ① 動的に割り振るIPアドレスの範囲を指定。 上が最初のアドレス。 下が最後のアドレス。 上が最初のアドレス。 下が最後のアドレス。 ② 「OK」ボタンをクリック
ポリシー設定① ServerA V1-Untrustゾーン 「From」 「To」 10.0.0.200 V1-Untrustゾーン 「From」 「To」 ポリシーを設定するときは「From」 から「To」を考慮する。 ネットスクリーンでポリシー設定を行うときは送信元→宛先を必ず指定してあげる。 「To」 「From」 V1-Trustゾーン UserA 10.0.0.100 V1-Untrust, V1-Trustともに同じセグメント
ポリシー設定② ① Policies を選択 ② 送信ゾーン(From) を設定。 ここではV1-Trustを選択。 ③ 宛先ゾーン(To) を設定。 ここではV1-Untrustを選択。 ④ 「New」ボタンをクリック 何もポリシーがないと「No entry available」と表示される。
ポリシー設定③ ① ソースとなるアドレスかオブジェクトを選択 ② 宛先となるアドレスかオブジェクトを選択 ① ソースとなるアドレスかオブジェクトを選択 ② 宛先となるアドレスかオブジェクトを選択 ④ 許可(Permit)するのか拒否(Block)するのかを決定 ③ サービスを選択 ⑤ ログを取る場合はここにチェック ⑥ 「OK」ボタンをクリック
ポリシー設定④ 先ほどの作業を繰り返し V1-Trust→V1-Untrust, V1-Untrust→V1-Trust 両方のポリシーを作成する。 FromからToのZONEごとにポリシーが表示される。 ポリシーの内容が表示される
ポリシー設定⑤ 表示されていないが実はAny→Any “deny” すべてをBlockするポリシーが入っている。 サービス指定 (HTTP,ftp,ping)etc 作成することも可能です 通信を許可する場合はpermit,拒否する場合はdeny 作成した順番 宛先 順番の変更 送信元 編集 削除 使用 複製 ログ 表示されていないが実はAny→Any “deny” すべてをBlockするポリシーが入っている。 これを暗黙のdenyという。 よってPermitの設定がないとすべての通信は遮断される。
設定練習(L2ネットワーク構成図) ServerA V1-Untrustゾーン Ping通信確認 Netscreen V1-Trustゾーン 10.0.0.200 V1-Untrustゾーン Ping通信確認 Netscreen Manage-ip 10.0.0.1 V1-Trustゾーン UserA 10.0.0.100 V1-Untrust, V1-Trustともに同じセグメント
設定練習(ポリシー) V1-Untrustゾーン 10.0.0.0/24 V1-Trustゾーン 10.0.0.0/24 ポリシー制御 ServerA UserA pingを許可する pingをブロックする V1-Untrust, V1-Trustともに同じセグメント オブジェクトを作成し、上記ポリシーを作成して下さい