ファイアウォール 基礎教育 (2日目) 1 Agenda(2日目) • 基本的な設定(L2モード) • 管理系設定 • 設定練習 2 NetScreen(L2モード) ・NetScreenは、ファイアウォールの機能を生かしたまま L2モード(switch)で稼動することが可能です。 メリット:同じセグメントでもポリシー制御を行うことができる。 デメリット:一つのセグメントしか使用できない。 ・設定の方法はコマンドラインベース(CLI)を紹介します。 webでも設定可能ですが、通信断が発生するため結局 CLIで設定を行う必要が出てきます。 3 NetScreen(L2モード) 基本的な設定(L2モード) - 1 1. unset int trust ip (trustのipを無効にしている) 2. unset int trust zone (trustのzoneを無効にしている) 3. unset int untrust ip (untrustのipを無効にしている) 4. unset int untrust zone (untrustのzoneを無効にしている) 5. set interface trust zone V1-Trust 6. set interface untrust zone V1-Untrust ※上記1~5を設定した段階で、L2モードに落ちる 。 ※ L2用のzoneを適応 。上記ゾーンはデフォルトであります。 zoneを適用したあと“ Changed to pure l2 mode “と表示 されればOKです。 4 NetScreen(L2モード) 基本的な設定(L2モード) - 2 Vlan1の管理IPアドレスを指定 サブネットマスクを指定 7. set int vlan1 ip xxx.xxx.xxx.xxx xxx.xxx.xxx.xxx ※ manage-ipの設定 ・VlanにIPアドレスを設定しておくと管理するときに便利です。 -WEBで設定確認。 -pingによる通信確認。 etc. 5 NetScreen(L2モード) 基本的な設定(L2モード) - 3 接続可能なIPアドレスの指定 8. set admin manager-ip xxx.xxx.xxx.xxx ※ デフォルトのままだと同じセグメントの端末はすべてweb管理 コンソールに接続可能となってしまうのでマネージャーIPを指定する。 セキュリティも向上するので必ず設定してください。 6 NetScreen(初期設定) 基本的な設定(L2モード) - 4 Webブラウザを立ち上げ先ほど コマンドラインで設定したアドレス へアクセスする。 set int vlan1 ip xxx.xxx.xxx.xxx LANケーブルをTrust ゾーンのポートへ接続 7 NetScreen(初期設定) 基本的な設定(L2モード) - 5 xxx.xxx.xxx.xxx (先ほど設定したIPアドレス) デフォルトは両方" netscreen " 8 インターフェースのL2確認 基本的な設定(L2モード) - 6 ① Network>Interfaces を選択 ② TypeがLayer2になっていることを確認 9 NTP設定(時刻合わせ①) ① Configuration>Date/Timeを選択 日本は+9 動的時刻合わせ NTPサーバーのアドレスを入力 10 DNS設定 ① Network>DNS>Host を選択 ② FWのホスト名を入力 ③ プライマリ DNSアドレス入力 ④ プライマリ DNSアドレス入力 ⑤ 必ずここで決定すること。 (Applyしないと設定が反映されません) 11 DHCP設定① ① Network>DHCP を選択 ② デフォルトはServerに なっているのを確認。 ③ Editをクリック 12 DHCP設定② ~DHCPサーバ無効~ ② DHCPを無効にする ① デフォルトではDHCPサーバが有効 になっている ③ 「Apply」ボタンをクリック 13 DHCP設定③ ~DHCPサーバ有効~ ① Network>DHCP を選択 ② DHCPサーバの設定を行う場合はここをクリック 14 DHCP設定④ ~DHCPサーバ有効~ 「Edit」ボタンをクリック 15 DHCP設定⑤ ~DHCPサーバ有効~ ① 動的に割り振るIPアドレスの範囲を指定。 上が最初のアドレス。 下が最後のアドレス。 ② 「OK」ボタンをクリック 16 ポリシー設定① ServerA 10.0.0.200 V1-Untrustゾーン 「From」 「To」 「To」 「From」 ポリシーを設定するときは 「From」 から「To」を考慮する。 ネットスクリーンでポリシー設定 を行うときは送信元→宛先を必 ず指定してあげる。 V1-Trustゾーン 1 POWER 2 3 4 UNTRUSTED STATUS LINK/ACTIVITY 10/100 NetScreen – 5GT UserA 10.0.0.100 V1-Untrust, V1-Trustともに同じセグメント 17 ポリシー設定② ① Policies を選択 ② 送信ゾーン(From) を設定。 ③ 宛先ゾーン(To) を設定。 ここではV1-Trustを選択。 ここではV1-Untrustを選択。 ④ 「New」ボタンをクリック 何もポリシーがないと「No entry available」 と表示される。 18 ポリシー設定③ ① ソースとなるアドレス かオブジェクトを選択 ② 宛先となるアドレスか オブジェクトを選択 ③ サービスを選択 ④ 許可(Permit)するのか 拒否(Block)するのかを決定 ⑤ ログを取る場合はここにチェック ⑥ 「OK」ボタンをクリック 19 ポリシー設定④ 先ほどの作業を繰り返し V1-Trust→V1-Untrust, V1-Untrust→V1-Trust 両方のポリシーを作成する。 FromからToの ZONEごとにポリ シーが表示される。 ポリシーの内容が表示される 20 ポリシー設定⑤ 作成した順番 送信元 宛先 サービス指定 (HTTP,ftp,ping)etc 作成することも可能です 通信を許可する場 合はpermit,拒否 する場合はdeny 削除 編集 ログ 順番の変更 複製 使用 表示されていないが実はAny→Any “deny” すべてをBlockするポリシーが入っている。 これを暗黙のdenyという。 よってPermitの設定がないとすべての通信は遮断される。 21 設定練習(L2ネットワーク構成図) ServerA 10.0.0.200 V1-Untrustゾーン Ping通信確認 1 POWER 2 3 4 UNTRUSTED STATUS LINK/ACTIVITY 10/100 NetScreen – 5GT Netscreen Manage-ip 10.0.0.1 V1-Trustゾーン UserA 10.0.0.100 V1-Untrust, V1-Trustともに同じセグメント 22 設定練習(ポリシー) V1-Untrustゾーン 10.0.0.0/24 V1-Trustゾーン ポリシー制御 ServerA 10.0.0.0/24 UserA pingを許可する pingをブロックする V1-Untrust, V1-Trustともに同じセグメント オブジェクトを作成し、上記ポリシーを作成して下さい 23
© Copyright 2024 ExpyDoc