ファイアウォール　基礎教育 （２日目）.

Presentation on theme: "ファイアウォール　基礎教育 （２日目）."— Presentation transcript:

1 ファイアウォール　基礎教育 （２日目）

2 Agenda（2日目） 基本的な設定（L2モード） 管理系設定 設定練習

3 NetScreen（L2モード） ・NetScreenは、ファイアウォールの機能を生かしたまま
　L2モード(switch)で稼動することが可能です。 　メリット：同じセグメントでもポリシー制御を行うことができる。 　デメリット：一つのセグメントしか使用できない。 ・設定の方法はコマンドラインベース(CLI)を紹介します。 　webでも設定可能ですが、通信断が発生するため結局 　CLIで設定を行う必要が出てきます。

4 NetScreen（L2モード） 基本的な設定（L2モード） - 1
1. unset int trust ip　　　　　(trustのipを無効にしている) 2. unset int trust zone　　　(trustのzoneを無効にしている) 3. unset int untrust ip (untrustのipを無効にしている) 4. unset int untrust zone 　 (untrustのzoneを無効にしている) 5. set interface trust zone V1-Trust 6. set interface untrust zone V1-Untrust ※上記1～5を設定した段階で、L2モードに落ちる 。 ※ L2用のzoneを適応 。上記ゾーンはデフォルトであります。 zoneを適用したあと“ Changed to pure l2 mode “と表示 　　されればOKです。

5 NetScreen（L2モード） 基本的な設定（L2モード） - 2 Vlan1の管理IPアドレスを指定 サブネットマスクを指定
7. set int vlan1 ip xxx.xxx.xxx.xxx xxx.xxx.xxx.xxx ※ manage-ipの設定 　　　・VlanにIPアドレスを設定しておくと管理するときに便利です。 　　　　－WEBで設定確認。 　　　　－pingによる通信確認。　etc.

6 NetScreen（L2モード） 基本的な設定（L2モード） - 3 接続可能なIPアドレスの指定
8. set admin manager-ip　 xxx.xxx.xxx.xxx ※ デフォルトのままだと同じセグメントの端末はすべてweb管理 　　コンソールに接続可能となってしまうのでマネージャーIPを指定する。 　　セキュリティも向上するので必ず設定してください。

7 NetScreen（初期設定） 基本的な設定（L2モード） - 4 LANケーブルをTrustゾーンのポートへ接続
Webブラウザを立ち上げ先ほどコマンドラインで設定したアドレス　へアクセスする。 set int vlan1 ip 　xxx.xxx.xxx.xxx

8 NetScreen（初期設定） 基本的な設定（L2モード） - 5 xxx.xxx.xxx.xxx (先ほど設定したIPアドレス)

9 インターフェースのL2確認 基本的な設定（L2モード） - 6 ① Network>Interfaces を選択
②　TypeがLayer2になっていることを確認

10 NTP設定(時刻合わせ①) ① Configuration>Date/Timeを選択 日本は+9 動的時刻合わせ

11 DNS設定 ① Network>DNS>Host を選択 ② FWのホスト名を入力 ③ プライマリDNSアドレス入力
⑤　必ずここで決定すること。 (Applyしないと設定が反映されません)

12 DHCP設定① ①　Network>DHCP を選択 ②　デフォルトはServerに なっているのを確認。 ③　Editをクリック

13 DHCP設定② ～DHCPサーバ無効～ ② DHCPを無効にする ① デフォルトではDHCPサーバが有効になっている
③　「Apply」ボタンをクリック

14 DHCP設定③ ～DHCPサーバ有効～ ①　Network>DHCP を選択 ②　DHCPサーバの設定を行う場合はここをクリック

15 DHCP設定④ ～DHCPサーバ有効～ 「Edit」ボタンをクリック

16 DHCP設定⑤ ～DHCPサーバ有効～ ① 動的に割り振るIPアドレスの範囲を指定。 上が最初のアドレス。 下が最後のアドレス。
　上が最初のアドレス。 　下が最後のアドレス。 ②　「OK」ボタンをクリック

17 ポリシー設定① ServerA V1-Untrustゾーン 「From」 「To」
V1-Untrustゾーン 「From」 「To」 ポリシーを設定するときは「From」 から「To」を考慮する。 ネットスクリーンでポリシー設定を行うときは送信元→宛先を必ず指定してあげる。 「To」 「From」 V1-Trustゾーン UserA V1-Untrust, V1-Trustともに同じセグメント

18 ポリシー設定② ① Policies を選択 ② 送信ゾーン(From) を設定。 ここではV1-Trustを選択。
③　宛先ゾーン(To) を設定。 ここではV1-Untrustを選択。 ④　「New」ボタンをクリック 何もポリシーがないと「No entry available」と表示される。

19 ポリシー設定③ ① ソースとなるアドレスかオブジェクトを選択 ② 宛先となるアドレスかオブジェクトを選択
①　ソースとなるアドレスかオブジェクトを選択 ②　宛先となるアドレスかオブジェクトを選択 ④　許可(Permit)するのか拒否(Block)するのかを決定 ③　サービスを選択 ⑤　ログを取る場合はここにチェック ⑥　「OK」ボタンをクリック

20 ポリシー設定④ 先ほどの作業を繰り返し V1-Trust→V1-Untrust, V1-Untrust→V1-Trust
両方のポリシーを作成する。 FromからToのZONEごとにポリシーが表示される。 ポリシーの内容が表示される

21 ポリシー設定⑤ 表示されていないが実はAny→Any “deny” すべてをBlockするポリシーが入っている。
サービス指定 (HTTP,ftp,ping)etc 作成することも可能です 通信を許可する場合はpermit,拒否する場合はdeny 作成した順番 宛先 順番の変更 送信元 編集 削除 使用 複製 ログ 表示されていないが実はAny→Any “deny” すべてをBlockするポリシーが入っている。 これを暗黙のdenyという。 よってPermitの設定がないとすべての通信は遮断される。

22 設定練習（L2ネットワーク構成図） ServerA V1-Untrustゾーン Ping通信確認 Netscreen V1-Trustゾーン
V1-Untrustゾーン Ping通信確認 Netscreen Manage-ip V1-Trustゾーン UserA V1-Untrust, V1-Trustともに同じセグメント

23 設定練習（ポリシー） V1-Untrustゾーン 10.0.0.0/24 V1-Trustゾーン 10.0.0.0/24 ポリシー制御
ServerA UserA pingを許可する pingをブロックする V1-Untrust, V1-Trustともに同じセグメント オブジェクトを作成し、上記ポリシーを作成して下さい