マネージドファイアウォール構築手順

マネージドファイアウォールは、Smart Data Platformのテナント内で利用することができるファイアウォール機能を提供します。

外部からの攻撃を防ぐため、インターネットゲートウェイとサーバーインスタンスはファイアウォールを介して接続することが推奨されています。 ファイアウォールは、パケットのフィルタリングを行い、悪意のあるアクセスを防ぐことができます。

ここでは、ファイアウォールの作成及び必要な設定を行います。

本項では図中の赤枠部分を構築していきます。

../../../_images/fw_model_a2.png

マネージドファイアウォールの詳細な構成は以下となります。

../../../_images/fw_model_a2_detail.png

1. セキュリティコントロールパネルへのアクセス

Smart Data Platformポータルにてワークスペースを選択後、「メニュー」をクリックします。

../../../_images/fw_workspace.png

「クラウド/サーバー ネットワークセキュリティ」の「Managed Firewall」、「Managed UTM」、「Managed WAF」のいずれかをクリックします。

../../../_images/fw_menu_select.png

セキュリティコントロールパネルのトップページが表示されます。

../../../_images/fw_sec_control_panel.png

2. ブラウザーの設定

セキュリティメニューのオーダーにあたっては、ご利用のブラウザーにおいて、ポップアップロックの解除が必要となります。

詳細についてはチュートリアル 「ブラウザーの設定」 を確認してください。


3. マネージドファイアウォールの構築

基本的な設定は、以下のような流れで進めます。

  • マネージドファイアウォールの申し込み

  • インターフェイスの設定

  • ルーティングの設定

  • オブジェクトの設定

  • ファイアウォールポリシーの設定


その他必要に応じて下記の設定も可能となります。詳細は下記チュートリアルをご確認ください。

syslogサーバへのログ送信

「2.1.8. お客様管理syslogサーバーへのログ送信設定」

タイムゾーンの設定

「2.1.9. タイムゾーンの設定」

タイムゾーンの設定

「2.1.10. セキュリティインシデントレポートの通知設定」


3.1. マネージドファイアウォールの申し込み

「Network-based Security」→「Managed Firewall/Managed UTM」の「Order」をクリックします。

../../../_images/fw_order_1.png

Order画面が表示されますので、「申込種別」で「デバイス追加」を選択します。

../../../_images/fw_order_2.png

以下必要な項目を入力し、「送信」をクリックしてください。

../../../_images/fw_single_order_1.png
デバイス情報説明

項番

項目名

入力形式

入力値

注意事項

1-1

メニュー

選択

Managed Firewall

1-2

プラン

選択

2CPU-4GB

1-3

構成

選択

Single

Single構成とHA構成により変化します。
申込種別をHA構成にしていないため、Singleが既に選択されています。

1-4

ゾーン/グループ

選択

zone1-groupb


確認ダイアログが表示されますので、申し込む場合は「保存」をクリックしてください。 ※取り止める場合は「閉じる」をクリックしてください。

../../../_images/fw_order_5.png

申し込んだオーダーの処理が完了すると、下記のメッセージが表示されます。その後、ポップアップ画面は自動で閉じ、Order画面がリロードされます。

../../../_images/fw_order_6.png

「オーダー状況のお知らせ」が表示されます。内容を確認後、「オーダー状況確認チェック」にチェックを入れて、「OK」をクリックしてください。

../../../_images/fw_order_7.png

注釈

「オーダー状況確認チェック」には、必ずチェックを入れてください。入れずにダイアログを閉じますと、次にOrder画面に遷移した際にも再び表示されます。

エラーメッセージが表示される場合は、Smart Data Platform チケットシステムでお問い合わせください。


3.2. インターフェイスの設定

インターフェイスの設定を行い、作成したファイアウォールとロジカルネットワークを接続します。 ここでは下図のように、Port4を「INTGW-FW_NW」に、Port5を「FW-SV_NW」に接続します。

../../../_images/fw_model_a2_interface.png

注釈

Port 1は、本メニュー提供のために必要なポートとしてあらかじめ確保されており、非表示です。

Port 2, 3はHA構成のために必要なポートです。あらかじめ設定済の内容が表示され、お客さまによる変更はできません。

Port 4〜10は、お客さまで利用できるインターフェイスです。


3.2.1 設定準備

セキュリティコントロールパネルから「サービス」をクリックし、「ワークフロー」をクリックし、「UTM Port Management」をクリックすると詳細画面が開きます。

../../../_images/fw_single_prep_1.png

最新のお客さまネットワーク情報を参照可能にするため、[Get Network Info]をクリックします。

../../../_images/fw_single_prep_2.png

[タスク ステータス]が表示されます。Get Network Infoのタスクが「緑色」になれば正常終了です。[×]で閉じてください。

../../../_images/fw_prep_3.png

Get Network Infoが完了すると、[ステータス]に「成功」と表示されます。ステータスが表示された領域または右上の[ステータス]ボタンをクリックすると、履歴が表示されます。

../../../_images/fw_single_prep_3.png

[履歴]が表示され[Get Network Info]プロセスの開始時刻、進捗が展示されます。

[履歴]の右端の[ステータス詳細表示]ボタンをクリックすると内容を確認できます。

../../../_images/fw_single_prep_4.png

../../../_images/fw_prep_6.png

3.2.2. インターフェイス設定

ここでは、以下のインターフェイスを作成します。

  • Internet側インターフェイス

  • サーバーインスタンス側インターフェイス


3.2.2.1. Internet側インターフェイス設定

[Manage Interfaces]をクリックします。

../../../_images/fw_single_manage_interfaces_1.png

「Manage Interfaces」の画面が開きます。Port 2,3は「Manage Interfaces」の画面には表示されません。 Port4をクリックで選択して、「編集」をクリックします。

../../../_images/fw_single_manage_interfaces_2.png

[Enable Port]をチェックすると設定値を入力できます。

../../../_images/fw_single_manage_interfaces_3.png

入力が必要な項目は以下になります。

../../../_images/fw_single_manage_interfaces_4.png

Manage Interface説明

項番

項目名

入力形式

入力値

注意事項

2-1

IP Address[CIDR]

手動

192.168.1.3/24

プレフィックス表記で入力してください。

2-2

Network Id

選択

IntGW-FW_NW

2-3

Subnet Id

選択

192.168.1.0/24

上記を入力して、「保存」をクリックします。これで使用するインターフェイスの設定準備が完了しました。

3.2.2.2. サーバーインスタンス側インターフェイス設定

「3.2.2.1. Internet側インターフェイス設定」 と同様の手順でサーバーインスタンス側のインターフェイス設定をPort5に行います。

設定値は次の通りです。

Manage Interface説明

項番

項目名

入力形式

入力値

注意事項

2-1

IP Address[CIDR]

手動

192.168.2.1/24

プレフィックス表記で入力してください。

2-2

Network Id

選択

FW-SV_NW

2-3

Subnet Id

選択

192.168.2.0/24

上記を入力して、「保存」をクリックします。これで使用するインターフェイスの設定準備が完了しました。


次に設定したインターフェイスを適用します。

Manage Interfaces画面で「今実行」をクリックします。

../../../_images/fw_single_manage_interfaces_5.png

「ステータス」に「実行中」と表示されます。

../../../_images/fw_single_manage_interfaces_6.png

「ステータス」をクリックすると、 履歴が表示され「Manage Interfaces」プロセスの開始時刻、進捗が表示されます。

../../../_images/fw_single_manage_interfaces_7.png

「履歴」の右端の「ステータス詳細表示」ボタンをクリックすると内容を確認できます。

../../../_images/fw_manage_interfaces_12.png
タスクステータス説明

タスクの色

タスクのステータス

灰色

未実行のタスク

青色

実行中のタスク

緑色

正常終了したタスク

赤色

問題が発生したタスク

すべてのステータスが「緑色」になれば正常終了です。「×」で閉じてください。

../../../_images/fw_manage_interfaces_13.png

注釈

タスクステータス問題発生時にはチュートリアル 「2.1.2.2.7. タスク ステータスと問題発生(赤色)時の対応」 を確認してください。


Manage Interfacesプロセスが正常終了すると、ステータスが緑色になり終了時刻が表示されます。[×]で閉じてください。

../../../_images/fw_single_manage_interfaces_8.png

3.3. ルーティングの設定

デバイスにスタティックルートを設定します。

セキュリティコントロールパネルから「デバイス」をクリックすると、デバイス一覧が表示されるので現在設定しているデバイスのデバイス名をクリックしてください。

../../../_images/fw_single_route_management_1.png

デバイスの概説が表示されるので、「コンフィグ」をクリックしてください。

../../../_images/fw_config.png

画面左側の Networking ‣ Routing をクリックします。


注釈

初期状態ではお客さまネットワーク用のルートは設定されていません。 デフォルト ゲートウェイも設定されていないので、お客さまのネットワーク環境に応じて設定する必要があります。


3.3.1. ルーティング追加

ここでは、以下の宛先に対してルーティングを追加します。

  • Webネットワーク向け


画面右側のRouting画面に表示されている「追加」をクリックします。

../../../_images/fw_single_route_management_2.png

入力が必要な項目は以下になります。

../../../_images/fw_single_route_management_3.png
ルーティング設定項目説明

項番

項目名

入力形式

入力値

注意事項

3-1

Destination IP

手動

0.0.0.0

3-2

Mask

手動

0.0.0.0

3-3

Gateway

手動

192.168.1.1

3-4

Interface

選択

Port4

上記を入力して、「保存」をクリックします。これでルーティングの追加準備が完了しました。


設定が準備できたら、「変更の保存」をクリックして設定の適用を開始します。

../../../_images/fw_commit.png

3.4. オブジェクトの設定

ファイアウォール ポリシーの設定は、IPアドレスを直接入力するのではなく、アドレス オブジェクトとして設定して使用します。

追加するポリシーは以下になります。

  • クライアントPCからインターネット経由でWebサーバーへのhttp、ICMP、SSHを許可

  • 各コンポーネントからインターネットへ抜けていく全通信を許可

../../../_images/fw_model_a2_policy.png

注釈

初期状態で [All] という、全てのアドレスを表す アドレス オブジェクト が利用できます。[All] は変更せずに、ご利用ください。


3.4.1. Service Groupの設定

画面左側の Service Object をクリックします。

画面右側の Service Object 画面で[追加]をクリックします。

../../../_images/fw_single_service_group_1.png

入力が必要な項目は以下になります。

../../../_images/fw_single_service_group_2.png
Service Group設定項目説明

項番

項目名

入力形式

入力値

注意事項

4-1

Service Name

手動

SSH2345

4-2

Protocol Type

選択

TCP

4-3

Destination Port

手動

2345

入力が完了したら、「保存」をクリックします。


画面左側の Service Group をクリックします。

画面右側の Service Group 画面で[追加]をクリックします。

../../../_images/fw_single_service_group_3.png

入力が必要な項目は以下になります。

../../../_images/fw_single_service_group_4.png
Service Group設定項目説明

項番

項目名

入力形式

入力値

注意事項

5-1

Group Name

手動

TutorialFilter

入力が完了したら、「追加」をクリックします。


入力が必要な項目は以下になります。

../../../_images/fw_single_service_group_5.png
Service Group設定項目説明

項番

項目名

入力形式

入力値

注意事項

5-2

Members

選択

HTTP

入力が完了したら、「保存」をクリックします。


再度オブジェクト画面で[追加]をクリックし、以下項目を入力します。

Service Group設定項目説明

項番

項目名

入力形式

入力値

注意事項

5-2

Members

選択

ALL_ICMP

入力が完了したら、「保存」をクリックします。


再度オブジェクト画面で[追加]をクリックし、以下項目を入力します。

Service Group設定項目説明

項番

項目名

入力形式

入力値

注意事項

5-2

Members

選択

SSH2345

入力が完了したら、「保存」をクリックします。


オブジェクト画面で[保存]をクリックします。

../../../_images/fw_single_service_group_6.png

これでDestination NATの追加準備が完了しました。


「変更の保存」をクリックして、設定をデバイスへ適用します。

../../../_images/fw_commit.png

3.4.2. Destination NATの設定

Destination NATのイメージ図は以下になります。

../../../_images/fw_model_a2_dnat.png

画面左側の「Destination NAT」をクリックし、画面右側の Destination NAT 画面で「追加」をクリックします。

../../../_images/fw_dnat_1.png

入力が必要な項目は以下になります。

../../../_images/fw_dnat_2.png
Destination NAT設定項目説明

項番

項目名

入力形式

入力値

注意事項

6-1

NAT Name

手動

DNATtoSV

英数字のみ入力が可能です。

6-2

External IP Address

手動

xxx.xxx.xxx.xxx

払い出されたグローバルIPアドレス(可変)を入力してください。

6-3

Mapped IP Address

手動

192.168.2.3

サーバーインスタンスのVirtual IPを入力してください。

6-4

Exteernal Interface

選択

Port4

Internet側のポート番号を選択してください。

上記を入力して、「保存」をクリックします。これでDestination NATの追加準備が完了しました。


「変更の保存」をクリックして、設定をデバイスへ適用します。

../../../_images/fw_commit.png

3.4.3. Source NATの設定

Source NATのイメージ図は以下になります。

../../../_images/fw_model_a2_snat.png

画面左側の「Source NAT」をクリックし、画面右側の Source NAT 画面で「追加」をクリックします。

../../../_images/fw_snat_1.png

入力が必要な項目は以下になります。

../../../_images/fw_snat_2.png
Source NAT設定項目説明

項番

項目名

入力形式

入力値

注意事項

7-1

NAT Name

手動

TutorialSNAT

英数字のみ入力が可能です。

7-2

Start IP Addresss

手動

xxx.xxx.xxx.xxx

払い出されたグローバルIPアドレス(可変)を入力してください。

7-3

End IP Addresss

手動

xxx.xxx.xxx.xxx

払い出されたグローバルIPアドレス(可変)を入力してください。

上記を入力して、「保存」をクリックします。これでSource NATの追加準備が完了しました。


「変更の保存」をクリックして、設定をデバイスへ適用します。

../../../_images/fw_commit.png

3.5. ファイアウォールポリシーの設定

追加するポリシーは以下になります。

  • クライアントPCからインターネット経由でWebサーバーへのhttp、ICMP、SSHを許可

  • 各コンポーネントからインターネットへ抜けていく全通信を許可


3.5.1. ポリシーの設定:クライアントPCからインターネット経由でWebサーバーへのhttp、ICMP、SSHを許可

画面左側の Firewall Policy をクリックします。


画面右側の Firewall Policy 画面で[追加]をクリックします。

../../../_images/fw_firewall_policy_1.png

入力が必要な項目は以下になります。

../../../_images/fw_single_firewall_policy_1.png
ファイアウォールポリシー設定項目説明

項番

項目名

入力形式

入力値

注意事項

8-1

Enable

選択

チェック有り

8-2

Incoming Interface

選択

Port4

8-3

Source Address

選択

all

8-4

Outgoing Interface

選択

Port5

8-5

Destination Address Type

選択

NAT Object

8-6

Destination NAT

選択

DNATtoSV

8-7

Service

選択

TutorialFilter

8-8

Action

選択

ACCEPT

8-9

NAT

選択

チェック無し

8-10

Log

選択

ALL


「変更の保存」をクリックして、設定をデバイスへ適用します。

../../../_images/fw_commit.png

3.5.2. ポリシーの設定:サーバーインスタンスからインターネットへ抜けていく全通信を許可

「3.5.1. ポリシーの設定:クライアントPCからインターネット経由でWebサーバーへのhttp、ICMP、SSHを許可」 と同様の手順でサーバーインスタンスからインターネットへ抜けていく全通信を許可するポリシーを設定します。

入力が必要な項目は以下になります。

../../../_images/fw_single_firewall_policy_2.png
ファイアウォールポリシー設定項目説明

項番

項目名

入力形式

入力値

注意事項

9-1

Enable

選択

チェック有り

9-2

Incoming Interface

選択

Port5

9-3

Source Address

選択

all

9-4

Outgoing Interface

選択

Port4

9-5

Destination Address Type

選択

Address Object

9-6

Destination Address

選択

all

9-7

Service

選択

all

9-8

Action

選択

ACCEPT

9-9

NAT

選択

チェック有り

9-10

NAT mode

選択

Use NAPT Object

9-11

NAPT Object

選択

TutorialSNAT

9-12

Log

選択

ALL


「変更の保存」をクリックして、設定をデバイスへ適用します。

../../../_images/fw_commit.png