ファイアウォール 基礎教育

ファイアウォール 基礎教育
(1日目)
Agenda
1日目
3日目
• Netscreenの概要
• VPNの概要
• 基本的な設定(L3モード) • VPNの設定(LAN間接続)
• 設定練習
• VPNの設定(リモートユーザー
接続)
• 設定練習
2日目
• 基本的な設定(L2モード)
• 管理系の設定
• 設定練習
Agenda(1日目)
• Netscreenの概要
• 基本的な設定(L3モード)
• 設定練習
Netscreenの概要
NetScreenは、ファイアウォールとVPN(仮想プライベートネッ
トワーク)を統合したインターネットセキュリティ機器です。
①強力なセキュリティ機能
IPSec VPN、IDP(不正侵入検知防御)、ファイアウォール、トラ
フィック制御機能
②ファイアウォール、VPNの高速処理
専用ASIC(Application Specific Integrated Circuit:特定用途
向け集積回路)による高速処理を行います。
③高い拡張性
小規模ネットワークからデータセンターなどの大規模なネットワーク
まで導入可能です。
Netscreenの概要(セキュリティゾーン)
Untrustゾーン
Trustゾーン
policy
セキュリティゾーンとは、インタフェースに割り
当てる仮想的なグループです。 Netscreen
は、Policyを作成してゾーン間のトラフィックを
制御します。
Netscreenの概要(接続方法)
LANケーブルをTrust
ゾーンのポートへ接続
Webブラウザを立ち上げ
http://192.168.1.1 へアクセス
工場出荷時は
Admin Name=>netscreen
Password=>netscreen
※デフォルトでは、NetscreenにてDHCPサーバが起動している
初期設定ウィザード
通常のWebUIを選択
上記選択後、「Next>>」ボタンをクリック
通常のWebUI画面
起動時間、システム時刻、タイムゾーン
デバイス情報
インターフェース情報
メニュー画面
ログ情報
リソース情報
ユーザー設定
① Configuration>Admin>Administrators を選択
② 新規ユーザーを作成したい時
② 既存のユーザーを編集したい時
ユーザー設定②(編集)
① ユーザー名を変更
② 現在のパスワードを入力
③ 変更したいパスワードを2回入力
④ 「OK」ボタンをクリック
ポートモードの選択
① Configuration>Port Mode を選択
② ポートモードを変更
③ 「Apply」ボタンをクリック
ポートモードの選択②
インターフェースの設定
① Network>Interfaces を選択
② 編集したいインターフェースを選択
インターフェースの設定②
① IPアドレスを設定
② 利用したいアクセス制御を選択
(例:Telnetを選択すれば、Telnetにてアクセス可能)
ルーティングテーブルの設定
① Network>Routing>Destination を選択
② 新規に作成したい場合は、「New」ボタンをクリック
ルーティングテーブルの設定②
① 宛先ネットワークを登録
② ネクストホップを登録
③ 「OK」ボタンをクリック
オブジェクトの登録(List)
① Objects>Addresses>List を選択
② 「New」ボタンをクリック
オブジェクトの登録(List②)
① 登録したいホスト名を入力
② IP/Netmaskを選択
③ IPアドレスを入力
④ 「OK」ボタンをクリック
オブジェクトの登録(Groups)
① Objects>Addresses>Groups を選択
② 「New」ボタンをクリック
オブジェクトの登録(Groups②)
① グループ名を入力
② グループに登録したいホストを選択
③ 「<<」ボタンをクリック
④ 「OK」ボタンをクリック
オブジェクトの登録(Services)
① Objects>Services>Predefinedを選択
② デフォルトで登録されているサービスを確認できる
オブジェクトの登録(Services②)
① Objects>Services>Custom を選択
② 「New」ボタンをクリック
オブジェクトの登録(Services③)
① プロトコルを選択
③ 「OK」ボタンをクリック
② 宛先ポート番号を指定
ポリシーの設定
① Policies を選択
② 送信元ゾーンを選択
④ 「New」ボタンをクリック
③ 宛先ゾーンを選択
ポリシーの設定②
② 宛先アドレスを入力(選択)
① 送信元アドレスを入力(選択)
③ サービスを選択
④ 「Permit」もしくは「Deny」を選択
⑤ ログを取得する場合はチェック
⑥ 上記終了後、「OK」ボタンをクリック
設定練習(ネットワーク構成図)
ServerA
11.0.0.100
Untrustゾーン
11.0.0.0/24
Switch02
11.0.0.2
11.0.0.1
1
POWER
2
3
4
UNTRUSTED
STATUS
LINK/ACTIVITY
10/100
NetScreen – 5GT
Netscreen
10.0.0.1
Trustゾーン
10.0.0.0/24
Switch01
UserA
10.0.0.2
10.0.0.100
設定練習(ポリシー)
Untrustゾーン
Trustゾーン
11.0.0.0/24
10.0.0.0/24
ServerA
Switch02
Ping
UserA
New_Protocol
宛先ポート:7777
Switch01
オブジェクトを作成し、上記ポリシーを作成して下さい