マネージドファイアウォール構築手順

マネージドファイアウォールは、Smart Data Platformのテナント内で利用することができるファイアウォール機能を提供します。

外部からの攻撃を防ぐため、インターネットゲートウェイとサーバーインスタンスはファイアウォールを介して接続することが推奨されています。 ファイアウォールは、パケットのフィルタリングを行い、悪意のあるアクセスを防ぐことができます。

ここでは、ファイアウォールの作成及び必要な設定を行います。

本項では図中の赤枠部分を構築していきます。

../../../_images/fw_model_a2.png

マネージドファイアウォールの詳細な構成は以下となります。

../../../_images/fw_model_a2_detail.png

1. セキュリティコントロールパネルへのアクセス

Smart Data Platformポータルにてワークスペースを選択後、「メニュー」をクリックします。

../../../_images/fw_workspace.png

「クラウド/サーバー ネットワークセキュリティ」の「Managed Firewall」、「Managed UTM」、「Managed WAF」のいずれかをクリックします。

../../../_images/fw_menu_select.png

セキュリティコントロールパネルのトップページが表示されます。

../../../_images/fw_sec_control_panel_1.png

2. ブラウザーの設定

セキュリティメニューのオーダーにあたっては、ご利用のブラウザーにおいて、ポップアップロックの解除が必要となります。

詳細についてはチュートリアル 「ブラウザーの設定」 を確認してください。


3. マネージドファイアウォールの構築

基本的な設定は、以下のような流れで進めます。

  • マネージドファイアウォールの申し込み

  • インターフェイスの設定

  • ルーティングの設定

  • オブジェクトの設定

  • ファイアウォールポリシーの設定


その他必要に応じて下記の設定も可能となります。詳細は下記チュートリアルをご確認ください。

syslogサーバへのログ送信

「2.1.8. お客様管理syslogサーバーへのログ送信設定」

タイムゾーンの設定

「2.1.9. タイムゾーンの設定」

タイムゾーンの設定

「2.1.10. セキュリティインシデントレポートの通知設定」

3.1. マネージドファイアウォールの申し込み

「Network-based Security」→「Managed Firewall/Managed UTM」の「Order」をクリックします。

../../../_images/fw_order_1_1.png

Order画面が表示されるため、「申込種別」で「デバイス追加」を選択します。

../../../_images/fw_order_2.png

以下必要な項目を入力し、「送信」をクリックしてください。

../../../_images/fw_single_order_1_1.png
デバイス情報説明

項番

項目名

入力形式

入力値

注意事項

1-1

メニュー

選択

Managed Firewall

1-2

プラン

選択

2CPU-4GB

1-3

構成

選択

Single
Single構成とHA構成により変化します。
申込種別をHA構成にしていないため、Singleが既に選択されています。

1-4

ゾーン/グループ

選択

zone1-groupb

確認ダイアログが表示されるため、申し込む場合は「保存」をクリックしてください。 ※取り止める場合は「閉じる」をクリックしてください。

../../../_images/fw_order_5.png

申し込んだオーダーの処理が完了すると、下記のメッセージが表示されます。その後、ポップアップ画面は自動で閉じ、Order画面がリロードされます。

../../../_images/fw_order_6.png

「オーダー状況のお知らせ」が表示されます。内容を確認後、「オーダー状況確認チェック」にチェックを入れて、「OK」をクリックしてください。

../../../_images/fw_order_7.png

注釈

「オーダー状況確認チェック」には、必ずチェックを入れてください。入れずにダイアログを閉じますと、次にOrder画面に遷移した際にも再び表示されます。

エラーメッセージが表示される場合は、Smart Data Platform チケットシステムでお問い合わせください。

3.2. インターフェイスの設定

インターフェイスの設定を行い、作成したファイアウォールとロジカルネットワークを接続します。 ここでは下図のように、Port4を「INTGW-FW_NW」に、Port5を「FW-SV_NW」に接続します。

../../../_images/fw_model_a2_interface.png

注釈

Port 1は、本メニュー提供のために必要なポートとしてあらかじめ確保されており、非表示です。

Port 2, 3はHA構成のために必要なポートです。あらかじめ設定済の内容が表示され、お客さまによる変更はできません。

Port 4〜10は、お客さまで利用できるインターフェイスです。


3.2.1 設定準備

セキュリティコントロールパネルから「オートメーション」をクリックし、ワークフローの一覧から「UTM Port Management」をクリックすると詳細画面が開きます。

../../../_images/fw_single_prep_1_1.png

最新のお客さまネットワーク情報を参照可能にするため、「Get Network Info」をクリックし、「実行」をクリックします。

../../../_images/fw_single_prep_2_1.png

「Tasks」が表示されます。「Get Network Info」のタスクが「緑色」になれば正常終了です。[×]で閉じてください。

../../../_images/fw_single_prep_3_1.png

画面上部の「実行履歴」ボタンをクリックすると、実行履歴が表示されます。

../../../_images/fw_single_prep_4_1.png

履歴が表示され「Get Network Info」プロセスの開始時刻、進捗が表示されます。

履歴の右端の「詳細」ボタンをクリックすると内容を確認できます。

../../../_images/fw_single_prep_5_1.png

../../../_images/fw_single_prep_6_1.png

3.2.2. インターフェイス設定

ここでは、以下のインターフェイスを作成します。

  • Internet側インターフェイス

  • サーバーインスタンス側インターフェイス

3.2.2.1. Internet側インターフェイス設定

「Manage Interfaces」をクリックします。

../../../_images/fw_single_manage_interfaces_1_1.png

「Manage Interfaces」の画面が開きます。Port 2,3は「Manage Interfaces」の画面には表示されません。 Port4の「Enable Port」をチェックすると設定値を入力できます。

../../../_images/fw_single_manage_interfaces_2_1.png

入力が必要な項目は以下になります。

../../../_images/fw_single_manage_interfaces_3_1.png

Manage Interface説明

項番

項目名

入力形式

入力値

注意事項

2-1

IP Address[CIDR]

手動

192.168.1.3/24

プレフィックス表記で入力してください。

2-2

Network Id

選択

IntGW-FW_NW

2-3

Subnet Id

選択

192.168.1.0/24

3.2.2.2. サーバーインスタンス側インターフェイス設定

「3.2.2.1. Internet側インターフェイス設定」 と同様の手順でサーバーインスタンス側のインターフェイス設定をPort5に行います。

設定値は次の通りです。

Manage Interface説明

項番

項目名

入力形式

入力値

注意事項

2-1

IP Address[CIDR]

手動

192.168.2.1/24

プレフィックス表記で入力してください。

2-2

Network Id

選択

FW-SV_NW

2-3

Subnet Id

選択

192.168.2.0/24

次に設定したインターフェイスを適用します。

Manage Interfaces画面で「実行」をクリックします。

../../../_images/fw_single_manage_interfaces_4_1.png

「Tasks」が表示され、各タスクが実行されます。

../../../_images/fw_single_manage_interfaces_5_1.png

「UTM Port Management」画面の「実行履歴」をクリックすると、実行履歴が表示されます。

「Manage Interfaces」プロセスの開始時刻、進捗が表示されます。

../../../_images/fw_single_manage_interfaces_6_1.png

履歴の右端の「詳細」ボタンをクリックすると内容を確認できます。

../../../_images/fw_single_manage_interfaces_7_1.png
タスクステータス説明

タスクの色

タスクのステータス

灰色

未実行のタスク

青色

実行中のタスク

緑色

正常終了したタスク

赤色

問題が発生したタスク

すべてのステータスが「緑色」になれば正常終了です。[×]で閉じてください。

../../../_images/fw_single_manage_interfaces_8_1.png

注釈

タスクステータス問題発生時にはチュートリアル 「2.1.2.2.7. タスク ステータスと問題発生(赤色)時の対応」 を確認してください。

[Manage Interfaces]プロセスが正常終了すると、ステータスが緑色になり終了時刻が表示されます。[×]で閉じてください。

../../../_images/fw_single_manage_interfaces_9_1.png

3.3. ルーティングの設定

デバイスにスタティックルートを設定します。

セキュリティコントロールパネルから「インフラ情報」をクリックすると、デバイスの一覧が表示されるため、現在設定しているデバイスのデバイス名をクリックしてください。

../../../_images/fw_single_route_management_1_1.png

デバイスの概要が表示されるため、「設定」をクリックしてください。

../../../_images/fw_single_route_management_2_1.png

注釈

初期状態ではお客さまネットワーク用のルートは設定されていません。 デフォルト ゲートウェイも設定されていないため、お客さまのネットワーク環境に応じて設定する必要があります。


3.3.1. ルーティング追加

ここでは、以下の宛先に対してルーティングを追加します。

  • Webネットワーク向け

画面左側の「Routing」をクリックし、画面中央の「オブジェクトを追加」をクリックします。

../../../_images/fw_single_route_management_3_1.png

入力が必要な項目は以下になります。

../../../_images/fw_single_route_management_4_1.png
ルーティング設定項目説明

項番

項目名

入力形式

入力値

注意事項

3-1

Destination IP

手動

0.0.0.0

3-2

Subnet Mask

手動

0.0.0.0

3-3

Gateway

手動

192.168.1.1

3-4

Interface

選択

Port4

入力が完了したら、「保存」をクリックします。

設定が準備できたら、「変更の保存」をクリックして設定の適用を開始します。

../../../_images/fw_single_route_management_5_1.png

3.4. オブジェクトの設定

ファイアウォール ポリシーの設定は、IPアドレスを直接入力するのではなく、アドレス オブジェクトとして設定して使用します。

追加するポリシーは以下になります。

  • クライアントPCからインターネット経由でWebサーバーへのhttp、ICMP、SSHを許可

  • 各コンポーネントからインターネットへ抜けていく全通信を許可

../../../_images/fw_model_a2_policy.png

注釈

初期状態で [All] という、全てのアドレスを表す アドレス オブジェクト が利用できます。[All] は変更せずに、ご利用ください。


3.4.1. Service Groupの設定

画面左側の「Service Object」をクリックし、画面中央の「オブジェクトを追加」をクリックします。

../../../_images/fw_single_service_group_1_1.png

入力が必要な項目は以下になります。

../../../_images/fw_single_service_group_2_1.png
Service Group設定項目説明

項番

項目名

入力形式

入力値

注意事項

4-1

Service Name

手動

SSH2345

4-2

Protocol Type

選択

TCP

4-3

Destination Port

手動

2345

入力が完了したら、「保存」をクリックします。

画面左側の「Service Group」をクリックし、画面中央の「オブジェクトを追加」をクリックします。

../../../_images/fw_single_service_group_3_1.png

入力が必要な項目は以下になります。

../../../_images/fw_single_service_group_4_1.png
Service Group設定項目説明

項番

項目名

入力形式

入力値

注意事項

5-1

Group Name

手動

TutorialFilter

入力が完了したら、「+追加」をクリックします。

入力が必要な項目は以下になります。

../../../_images/fw_single_service_group_5_1.png
Service Group設定項目説明

項番

項目名

入力形式

入力値

注意事項

5-2

Members

選択

HTTP

再度[+追加]をクリックし、以下項目を入力します。

Service Group設定項目説明

項番

項目名

入力形式

入力値

注意事項

5-2

Members

選択

ALL_ICMP

再度[+追加]をクリックし、以下項目を入力します。

Service Group設定項目説明

項番

項目名

入力形式

入力値

注意事項

5-2

Members

選択

SSH2345

入力が完了したら、「保存」をクリックします。

../../../_images/fw_single_service_group_6_1.png

「変更の保存」をクリックして、設定をデバイスへ適用します。

../../../_images/fw_single_service_group_7_1.png

3.4.2. Destination NATの設定

Destination NATのイメージ図は以下になります。

../../../_images/fw_model_a2_dnat.png

画面左側の「Destination NAT UTM」をクリックし、画面中央の「オブジェクトを追加」をクリックします。

../../../_images/fw_dnat_1_1.png

入力が必要な項目は以下になります。

../../../_images/fw_dnat_2_1.png
Destination NAT設定項目説明

項番

項目名

入力形式

入力値

注意事項

6-1

NAT Name

手動

DNATtoSV

英数字のみ入力が可能です。

6-2

External IP Address

手動

xxx.xxx.xxx.xxx

払い出されたグローバルIPアドレス(可変)を入力してください。

6-3

Mapped IP Address

手動

192.168.2.3

サーバーインスタンスのVirtual IPを入力してください。

6-4

Exteernal Interface

選択

Port4

Internet側のポート番号を選択してください。

入力が完了したら、「保存」をクリックします。

「変更の保存」をクリックして、設定をデバイスへ適用します。

../../../_images/fw_dnat_3_1.png

3.4.3. Source NATの設定

Source NATのイメージ図は以下になります。

../../../_images/fw_model_a2_snat.png

画面左側の「Source NAT」をクリックし、画面中央の「オブジェクトを追加」をクリックします。

../../../_images/fw_snat_1_1.png

入力が必要な項目は以下になります。

../../../_images/fw_snat_2_1.png
Source NAT設定項目説明

項番

項目名

入力形式

入力値

注意事項

7-1

NAT Name

手動

TutorialSNAT

英数字のみ入力が可能です。

7-2

Start IP Addresss

手動

xxx.xxx.xxx.xxx

払い出されたグローバルIPアドレス(可変)を入力してください。

7-3

End IP Addresss

手動

xxx.xxx.xxx.xxx

払い出されたグローバルIPアドレス(可変)を入力してください。

入力が完了したら、「保存」をクリックします。

「変更の保存」をクリックして、設定をデバイスへ適用します。

../../../_images/fw_snat_3_1.png

3.5. ファイアウォールポリシーの設定

追加するポリシーは以下になります。

  • クライアントPCからインターネット経由でWebサーバーへのhttp、ICMP、SSHを許可

  • 各コンポーネントからインターネットへ抜けていく全通信を許可


3.5.1. ポリシーの設定:クライアントPCからインターネット経由でWebサーバーへのhttp、ICMP、SSHを許可

画面左側の「Firewall Policy」をクリックし、画面中央の「オブジェクトを追加」をクリックします。

../../../_images/fw_firewall_policy_1_1.png

入力が必要な項目は以下になります。

../../../_images/fw_firewall_policy_2_1.png
ファイアウォールポリシー設定項目説明

項番

項目名

入力形式

入力値

注意事項

8-1

Enable

選択

チェック有り

8-2

Incoming Interface

選択

Port4

8-3

Source Address

選択

all

8-4

Outgoing Interface

選択

Port5

8-5

Destination Address Type

選択

NAT Object

8-6

Destination NAT

選択

DNATtoSV

8-7

Service

選択

TutorialFilter

8-8

Action

選択

ACCEPT

8-9

NAT

選択

チェック無し

8-10

Log

選択

ALL

入力が完了したら、「保存」をクリックします。

「変更の保存」をクリックして、設定をデバイスへ適用します。

../../../_images/fw_firewall_policy_3_1.png

3.5.2. ポリシーの設定:サーバーインスタンスからインターネットへ抜けていく全通信を許可

「3.5.1. ポリシーの設定:クライアントPCからインターネット経由でWebサーバーへのhttp、ICMP、SSHを許可」 と同様の手順でサーバーインスタンスからインターネットへ抜けていく全通信を許可するポリシーを設定します。

入力が必要な項目は以下になります。

../../../_images/fw_firewall_policy_4_1.png
ファイアウォールポリシー設定項目説明

項番

項目名

入力形式

入力値

注意事項

9-1

Enable

選択

チェック有り

9-2

Incoming Interface

選択

Port5

9-3

Source Address

選択

all

9-4

Outgoing Interface

選択

Port4

9-5

Destination Address Type

選択

Address Object

9-6

Destination Address

選択

all

9-7

Service

選択

all

9-8

Action

選択

ACCEPT

9-9

NAT

選択

チェック有り

9-10

NAT mode

選択

Use NAPT Object

9-11

NAPT Object

選択

TutorialSNAT

9-12

Log

選択

ALL

入力が完了したら、「保存」をクリックします。

「変更の保存」をクリックして、設定をデバイスへ適用します。

../../../_images/fw_firewall_policy_5_1.png

インターネットゲートウェイ構築手順
サーバーインスタンス構築手順