マネージドファイアウォール構築手順¶
マネージドファイアウォールは、Smart Data Platformのテナント内で利用することができるファイアウォール機能を提供します。
外部からの攻撃を防ぐため、インターネットゲートウェイとサーバーインスタンスはファイアウォールを介して接続することが推奨されています。 ファイアウォールは、パケットのフィルタリングを行い、悪意のあるアクセスを防ぐことができます。
ここでは、ファイアウォールの作成及び必要な設定を行います。
本項では図中の赤枠部分を構築していきます。
マネージドファイアウォールの詳細な構成は以下となります。
Contents
1. セキュリティコントロールパネルへのアクセス¶
Smart Data Platformポータルにてワークスペースを選択後、「メニュー」をクリックします。
「クラウド/サーバー ネットワークセキュリティ」の「Managed Firewall」、「Managed UTM」、「Managed WAF」のいずれかをクリックします。
セキュリティコントロールパネルのトップページが表示されます。
2. ブラウザーの設定¶
セキュリティメニューのオーダーにあたっては、ご利用のブラウザーにおいて、ポップアップロックの解除が必要となります。
詳細についてはチュートリアル 「ブラウザーの設定」 を確認してください。
3. マネージドファイアウォールの構築¶
基本的な設定は、以下のような流れで進めます。
マネージドファイアウォールの申し込み
インターフェイスの設定
ルーティングの設定
オブジェクトの設定
ファイアウォールポリシーの設定
その他必要に応じて下記の設定も可能となります。詳細は下記チュートリアルをご確認ください。
syslogサーバへのログ送信 |
|
タイムゾーンの設定 |
|
タイムゾーンの設定 |
3.1. マネージドファイアウォールの申し込み¶
「Network-based Security」→「Managed Firewall/Managed UTM」の「Order」をクリックします。
Order画面が表示されますので、「申込種別」で「デバイス追加」を選択します。
以下必要な項目を入力し、「送信」をクリックしてください。
項番 |
項目名 |
入力形式 |
入力値 |
注意事項 |
1-1 |
メニュー |
選択 |
Managed Firewall |
|
1-2 |
プラン |
選択 |
2CPU-4GB |
|
1-3 |
構成 |
選択 |
Single |
Single構成とHA構成により変化します。
申込種別をHA構成にしていないため、Singleが既に選択されています。
|
1-4 |
ゾーン/グループ |
選択 |
zone1-groupb |
確認ダイアログが表示されますので、申し込む場合は「保存」をクリックしてください。 ※取り止める場合は「閉じる」をクリックしてください。
申し込んだオーダーの処理が完了すると、下記のメッセージが表示されます。その後、ポップアップ画面は自動で閉じ、Order画面がリロードされます。
「オーダー状況のお知らせ」が表示されます。内容を確認後、「オーダー状況確認チェック」にチェックを入れて、「OK」をクリックしてください。
注釈
「オーダー状況確認チェック」には、必ずチェックを入れてください。入れずにダイアログを閉じますと、次にOrder画面に遷移した際にも再び表示されます。
エラーメッセージが表示される場合は、Smart Data Platform チケットシステムでお問い合わせください。
3.2. インターフェイスの設定¶
インターフェイスの設定を行い、作成したファイアウォールとロジカルネットワークを接続します。 ここでは下図のように、Port4を「INTGW-FW_NW」に、Port5を「FW-SV_NW」に接続します。
注釈
Port 1は、本メニュー提供のために必要なポートとしてあらかじめ確保されており、非表示です。
Port 2, 3はHA構成のために必要なポートです。あらかじめ設定済の内容が表示され、お客さまによる変更はできません。
Port 4〜10は、お客さまで利用できるインターフェイスです。
3.2.1 設定準備¶
セキュリティコントロールパネルから「サービス」をクリックし、「ワークフロー」をクリックし、「UTM Port Management」をクリックすると詳細画面が開きます。
最新のお客さまネットワーク情報を参照可能にするため、[Get Network Info]をクリックします。
[タスク ステータス]が表示されます。Get Network Infoのタスクが「緑色」になれば正常終了です。[×]で閉じてください。
Get Network Infoが完了すると、[ステータス]に「成功」と表示されます。ステータスが表示された領域または右上の[ステータス]ボタンをクリックすると、履歴が表示されます。
[履歴]が表示され[Get Network Info]プロセスの開始時刻、進捗が展示されます。
[履歴]の右端の[ステータス詳細表示]ボタンをクリックすると内容を確認できます。
3.2.2.1. Internet側インターフェイス設定¶
[Manage Interfaces]をクリックします。
「Manage Interfaces」の画面が開きます。Port 2,3は「Manage Interfaces」の画面には表示されません。 Port4をクリックで選択して、「編集」をクリックします。
[Enable Port]をチェックすると設定値を入力できます。
入力が必要な項目は以下になります。
項番 |
項目名 |
入力形式 |
入力値 |
注意事項 |
2-1 |
IP Address[CIDR] |
手動 |
192.168.1.3/24 |
プレフィックス表記で入力してください。 |
2-2 |
Network Id |
選択 |
IntGW-FW_NW |
|
2-3 |
Subnet Id |
選択 |
192.168.1.0/24 |
上記を入力して、「保存」をクリックします。これで使用するインターフェイスの設定準備が完了しました。
3.2.2.2. サーバーインスタンス側インターフェイス設定¶
「3.2.2.1. Internet側インターフェイス設定」 と同様の手順でサーバーインスタンス側のインターフェイス設定をPort5に行います。
設定値は次の通りです。
項番 |
項目名 |
入力形式 |
入力値 |
注意事項 |
2-1 |
IP Address[CIDR] |
手動 |
192.168.2.1/24 |
プレフィックス表記で入力してください。 |
2-2 |
Network Id |
選択 |
FW-SV_NW |
|
2-3 |
Subnet Id |
選択 |
192.168.2.0/24 |
上記を入力して、「保存」をクリックします。これで使用するインターフェイスの設定準備が完了しました。
次に設定したインターフェイスを適用します。
Manage Interfaces画面で「今実行」をクリックします。
「ステータス」に「実行中」と表示されます。
「ステータス」をクリックすると、 履歴が表示され「Manage Interfaces」プロセスの開始時刻、進捗が表示されます。
「履歴」の右端の「ステータス詳細表示」ボタンをクリックすると内容を確認できます。
タスクの色 |
タスクのステータス |
灰色 |
未実行のタスク |
青色 |
実行中のタスク |
緑色 |
正常終了したタスク |
赤色 |
問題が発生したタスク |
すべてのステータスが「緑色」になれば正常終了です。「×」で閉じてください。
注釈
タスクステータス問題発生時にはチュートリアル 「2.1.2.2.7. タスク ステータスと問題発生(赤色)時の対応」 を確認してください。
Manage Interfacesプロセスが正常終了すると、ステータスが緑色になり終了時刻が表示されます。[×]で閉じてください。
3.3. ルーティングの設定¶
デバイスにスタティックルートを設定します。
セキュリティコントロールパネルから「デバイス」をクリックすると、デバイス一覧が表示されるので現在設定しているデバイスのデバイス名をクリックしてください。
デバイスの概説が表示されるので、「コンフィグ」をクリックしてください。
画面左側の Networking ‣ Routing をクリックします。
注釈
初期状態ではお客さまネットワーク用のルートは設定されていません。 デフォルト ゲートウェイも設定されていないので、お客さまのネットワーク環境に応じて設定する必要があります。
3.3.1. ルーティング追加¶
ここでは、以下の宛先に対してルーティングを追加します。
Webネットワーク向け
画面右側のRouting画面に表示されている「追加」をクリックします。
入力が必要な項目は以下になります。
項番 |
項目名 |
入力形式 |
入力値 |
注意事項 |
3-1 |
Destination IP |
手動 |
0.0.0.0 |
|
3-2 |
Mask |
手動 |
0.0.0.0 |
|
3-3 |
Gateway |
手動 |
192.168.1.1 |
|
3-4 |
Interface |
選択 |
Port4 |
上記を入力して、「保存」をクリックします。これでルーティングの追加準備が完了しました。
設定が準備できたら、「変更の保存」をクリックして設定の適用を開始します。
3.4. オブジェクトの設定¶
ファイアウォール ポリシーの設定は、IPアドレスを直接入力するのではなく、アドレス オブジェクトとして設定して使用します。
追加するポリシーは以下になります。
クライアントPCからインターネット経由でWebサーバーへのhttp、ICMP、SSHを許可
各コンポーネントからインターネットへ抜けていく全通信を許可
注釈
初期状態で [All] という、全てのアドレスを表す アドレス オブジェクト が利用できます。[All] は変更せずに、ご利用ください。
3.4.1. Service Groupの設定¶
画面左側の Service Object をクリックします。
画面右側の Service Object 画面で[追加]をクリックします。
入力が必要な項目は以下になります。
項番 |
項目名 |
入力形式 |
入力値 |
注意事項 |
4-1 |
Service Name |
手動 |
SSH2345 |
|
4-2 |
Protocol Type |
選択 |
TCP |
|
4-3 |
Destination Port |
手動 |
2345 |
入力が完了したら、「保存」をクリックします。
画面左側の Service Group をクリックします。
画面右側の Service Group 画面で[追加]をクリックします。
入力が必要な項目は以下になります。
項番 |
項目名 |
入力形式 |
入力値 |
注意事項 |
5-1 |
Group Name |
手動 |
TutorialFilter |
入力が完了したら、「追加」をクリックします。
入力が必要な項目は以下になります。
項番 |
項目名 |
入力形式 |
入力値 |
注意事項 |
5-2 |
Members |
選択 |
HTTP |
入力が完了したら、「保存」をクリックします。
再度オブジェクト画面で[追加]をクリックし、以下項目を入力します。
項番 |
項目名 |
入力形式 |
入力値 |
注意事項 |
5-2 |
Members |
選択 |
ALL_ICMP |
入力が完了したら、「保存」をクリックします。
再度オブジェクト画面で[追加]をクリックし、以下項目を入力します。
項番 |
項目名 |
入力形式 |
入力値 |
注意事項 |
5-2 |
Members |
選択 |
SSH2345 |
入力が完了したら、「保存」をクリックします。
オブジェクト画面で[保存]をクリックします。
これでDestination NATの追加準備が完了しました。
「変更の保存」をクリックして、設定をデバイスへ適用します。
3.4.2. Destination NATの設定¶
Destination NATのイメージ図は以下になります。
画面左側の「Destination NAT」をクリックし、画面右側の Destination NAT 画面で「追加」をクリックします。
入力が必要な項目は以下になります。
項番 |
項目名 |
入力形式 |
入力値 |
注意事項 |
6-1 |
NAT Name |
手動 |
DNATtoSV |
英数字のみ入力が可能です。 |
6-2 |
External IP Address |
手動 |
xxx.xxx.xxx.xxx |
払い出されたグローバルIPアドレス(可変)を入力してください。 |
6-3 |
Mapped IP Address |
手動 |
192.168.2.3 |
サーバーインスタンスのVirtual IPを入力してください。 |
6-4 |
Exteernal Interface |
選択 |
Port4 |
Internet側のポート番号を選択してください。 |
上記を入力して、「保存」をクリックします。これでDestination NATの追加準備が完了しました。
「変更の保存」をクリックして、設定をデバイスへ適用します。
3.4.3. Source NATの設定¶
Source NATのイメージ図は以下になります。
画面左側の「Source NAT」をクリックし、画面右側の Source NAT 画面で「追加」をクリックします。
入力が必要な項目は以下になります。
項番 |
項目名 |
入力形式 |
入力値 |
注意事項 |
7-1 |
NAT Name |
手動 |
TutorialSNAT |
英数字のみ入力が可能です。 |
7-2 |
Start IP Addresss |
手動 |
xxx.xxx.xxx.xxx |
払い出されたグローバルIPアドレス(可変)を入力してください。 |
7-3 |
End IP Addresss |
手動 |
xxx.xxx.xxx.xxx |
払い出されたグローバルIPアドレス(可変)を入力してください。 |
上記を入力して、「保存」をクリックします。これでSource NATの追加準備が完了しました。
「変更の保存」をクリックして、設定をデバイスへ適用します。
3.5. ファイアウォールポリシーの設定¶
追加するポリシーは以下になります。
クライアントPCからインターネット経由でWebサーバーへのhttp、ICMP、SSHを許可
各コンポーネントからインターネットへ抜けていく全通信を許可
3.5.1. ポリシーの設定:クライアントPCからインターネット経由でWebサーバーへのhttp、ICMP、SSHを許可¶
画面左側の Firewall Policy をクリックします。
画面右側の Firewall Policy 画面で[追加]をクリックします。
入力が必要な項目は以下になります。
項番 |
項目名 |
入力形式 |
入力値 |
注意事項 |
8-1 |
Enable |
選択 |
チェック有り |
|
8-2 |
Incoming Interface |
選択 |
Port4 |
|
8-3 |
Source Address |
選択 |
all |
|
8-4 |
Outgoing Interface |
選択 |
Port5 |
|
8-5 |
Destination Address Type |
選択 |
NAT Object |
|
8-6 |
Destination NAT |
選択 |
DNATtoSV |
|
8-7 |
Service |
選択 |
TutorialFilter |
|
8-8 |
Action |
選択 |
ACCEPT |
|
8-9 |
NAT |
選択 |
チェック無し |
|
8-10 |
Log |
選択 |
ALL |
「変更の保存」をクリックして、設定をデバイスへ適用します。
3.5.2. ポリシーの設定:サーバーインスタンスからインターネットへ抜けていく全通信を許可¶
「3.5.1. ポリシーの設定:クライアントPCからインターネット経由でWebサーバーへのhttp、ICMP、SSHを許可」 と同様の手順でサーバーインスタンスからインターネットへ抜けていく全通信を許可するポリシーを設定します。
入力が必要な項目は以下になります。
項番 |
項目名 |
入力形式 |
入力値 |
注意事項 |
9-1 |
Enable |
選択 |
チェック有り |
|
9-2 |
Incoming Interface |
選択 |
Port5 |
|
9-3 |
Source Address |
選択 |
all |
|
9-4 |
Outgoing Interface |
選択 |
Port4 |
|
9-5 |
Destination Address Type |
選択 |
Address Object |
|
9-6 |
Destination Address |
選択 |
all |
|
9-7 |
Service |
選択 |
all |
|
9-8 |
Action |
選択 |
ACCEPT |
|
9-9 |
NAT |
選択 |
チェック有り |
|
9-10 |
NAT mode |
選択 |
Use NAPT Object |
|
9-11 |
NAPT Object |
選択 |
TutorialSNAT |
|
9-12 |
Log |
選択 |
ALL |
「変更の保存」をクリックして、設定をデバイスへ適用します。