マネージドファイアウォール構築手順

マネージドファイアウォールは、SDPF クラウド/サーバーのテナント内で利用することができるファイアウォール機能を提供します。

外部からの攻撃を防ぐため、インターネットゲートウェイとサーバーインスタンスはファイアウォールを介して接続することが推奨されています。 ファイアウォールは、パケットのフィルタリングを行い、悪意のあるアクセスを防ぐことができます。

ここでは、ファイアウォールの作成及び必要な設定を行います。

本項では図中の赤枠部分を構築していきます。

../../../_images/fw_model_b.png

マネージドファイアウォールの詳細な構成は以下となります。

../../../_images/fw_model_c_detail.png

図に使用される表記の凡例は 凡例一覧 を参照してください。


1. セキュリティコントロールパネルへのアクセス

Smart Data Platformポータルにてワークスペースを選択後、「メニュー」をクリックします。

../../../_images/fw_workspace.png

「クラウド/サーバー ネットワークセキュリティ」の「Managed Firewall」、「Managed UTM」、「Managed WAF」のいずれかをクリックします。

../../../_images/fw_menu_select.png

セキュリティコントロールパネルのトップページが表示されます。

../../../_images/fw_sec_control_panel.png

2. ブラウザーの設定

セキュリティメニューのオーダーにあたっては、ご利用のブラウザーにおいて、ポップアップロックの解除が必要となります。

詳細についてはチュートリアル 「ブラウザーの設定」 を確認してください。


3. マネージドファイアウォールの構築(HA構成)

基本的な設定は、以下のような流れで進めます。

  • マネージドファイアウォールの申し込み

  • インターフェイスの設定

  • ルーティングの設定

  • オブジェクトの設定

  • ファイアウォールポリシーの設定


その他必要に応じて下記の設定も可能となります。詳細は下記チュートリアルをご確認ください。

syslogサーバへのログ送信

「2.1.8. お客様管理syslogサーバーへのログ送信設定」

タイムゾーンの設定

「2.1.9. タイムゾーンの設定」

タイムゾーンの設定

「2.1.10. セキュリティインシデントレポートの通知設定」


3.1. マネージドファイアウォールの申し込み

「Network-based Security」→「Managed Firewall/Managed UTM」の「Order」をクリックします。

../../../_images/fw_order_1.png

Order画面が表示されますので、「申込種別」で「デバイス追加(HA)」を選択します。

../../../_images/fw_order_2.png

入力が必要な項目は以下になります。

../../../_images/fw_order_3.png
デバイス情報説明

項番

項目名

入力形式

入力値

注意事項

1-1

メニュー

選択

Managed Firewall

1-2

プラン

選択

2CPU-4GB

1-3

ゾーン/グループ

選択

zone1-groupa
zone1-groupb
No1で選択してください。
No2で選択してください。
障害耐性のため、No1とNo2でグループを分けて下さい

1-4

HAリンク1 ネットワークID01

選択

"ネットワークID"/FW-HA1

HA線用に作成したロジカルネットワークを選択してください

1-5

HAリンク1 サブネットID01

手動

192.168.101.2 ~ 192.168.101.6

1-6

HAリンク1 IPアドレス01

手動

192.168.101.3
192.168.101.4
No1に入力してください
No2に入力してください

1-7

HAリンク2 ネットワークID01

選択

"ネットワークID"/FW-HA2

HA線用に作成したロジカルネットワークを選択してください

1-8

HAリンク2 サブネットID01

手動

192.168.102.2 ~ 192.168.102.6

1-9

HAリンク2 IPアドレス01

手動

192.168.102.3
192.168.102.4
No1に入力してください
No2に入力してください

注釈

No.2の行でグレーアウトされている項目は、No.1の行で入力した値が自動でコピーされるため、入力する必要はありません。


「送信」をクリックしてください。

../../../_images/fw_order_4.png

確認ダイアログが表示されますので、申し込む場合は「保存」をクリックしてください。 ※取り止める場合は「閉じる」をクリックしてください。

../../../_images/fw_order_5.png

申し込んだオーダーの処理が完了すると、下記のメッセージが表示されます。その後、ポップアップ画面は自動で閉じ、Order画面がリロードされます。

../../../_images/fw_order_6.png

「オーダー状況のお知らせ」が表示されます。内容を確認後、「オーダー状況確認チェック」にチェックを入れて、「OK」をクリックしてください。

../../../_images/fw_order_7.png

注釈

「オーダー状況確認チェック」には、必ずチェックを入れてください。入れずにダイアログを閉じますと、次にOrder画面に遷移した際にも再び表示されます。

エラーメッセージが表示される場合は、Smart Data Platform チケットシステムでお問い合わせください。


3.2. HA構成のインターフェイス設定

初期状態は未設定となります。

重要

HAインターフェイス設定の制約事項は、以下の通りです。

使用禁止IP address

次のIPアドレスは、インターフェイス、ルーティング、アドレスオブジェクト、Destination NAT、Source NATに使用することができません。 これらのIPアドレスを使用すると、正常に動作しない場合があります。

  • 100.65.0.0/16

  • 100.66.0.0/15

  • 100.68.0.0/14

  • 100.72.0.0/14

  • 100.76.0.0/15

  • 100.78.0.0/16

  • 100.80.0.0/13

  • 100.88.0.0/15

  • 100.91.0.0/16

  • 100.92.0.0/14

  • 100.126.0.0/15

使用禁止VRRP ID

次の VRRP ID は、Managed Firewall/UTM および隣接する機器のVRRP ID に使用できません。

  • ID 11(仮想MACアドレス00:00:5e:00:01:0b)

注釈

Port 1は、本メニュー提供のために必要なポートとしてあらかじめ確保されており、非表示です。

Port 2, 3はHA構成のために必要なポートです。あらかじめ設定済の内容が表示され、お客さまによる変更はできません。

Port 4~10は、お客さまで利用できるインターフェイスです。


3.2.1 設定準備

セキュリティコントロールパネルから「サービス」をクリックし、「ワークフロー」をクリックし、「Cluster Port Management」をクリックすると詳細画面が開きます。

../../../_images/fw_prep_1.png

最新のお客さまネットワーク情報を参照可能にするため、[Get Network Info]をクリックします。

../../../_images/fw_prep_2.png

[タスク ステータス]が表示されます。Get Network Infoのタスクが「緑色」になれば正常終了です。[×]で閉じてください。

../../../_images/fw_prep_3.png

Get Network Infoが完了すると、[ステータス]に「成功」と表示されます。ステータスが表示された領域または右上の[ステータス]ボタンをクリックすると、履歴が表示されます。

../../../_images/fw_prep_4.png

[履歴]が表示され[Get Network Info]プロセスの開始時刻、進捗が展示されます。

[履歴]の右端の[ステータス詳細表示]ボタンをクリックすると内容を確認できます。

../../../_images/fw_prep_5.png

../../../_images/fw_prep_6.png

3.2.2. インターフェイス設定

ここでは、以下のインターフェイスを作成します。

  • FIC側インターフェイス

  • Internet側インターフェイス

  • ロードバランサー側インターフェイス


3.2.2.1. FIC側インターフェイス設定

[Manage Interfaces]をクリックします。

../../../_images/fw_manage_interfaces_1.png

「Manage Interfaces」の画面が開きます。Port 2,3は「Manage Interfaces」の画面には表示されません。 Port4をクリックで選択して、「編集」をクリックします。

../../../_images/fw_manage_interfaces_2.png

[Enable Port]をチェックすると設定値を入力できます。

../../../_images/fw_manage_interfaces_3.png

「Device Id」の若番を選択し、「編集」をクリックします。

../../../_images/fw_manage_interfaces_4.png

入力が必要な項目は以下になります。

../../../_images/fw_manage_interfaces_5.png

IP Address Manage Interface説明

項番

項目名

入力形式

入力値

注意事項

2-4

IP Address[CIDR]

手動

192.168.1.253/24

プレフィックス表記で入力してください。

入力が完了したら、「保存」をクリックしてください。


次に、「Device Id」の老番を選択し、「編集」をクリックします。

../../../_images/fw_manage_interfaces_6.png

入力が必要な項目は以下になります。

../../../_images/fw_manage_interfaces_7.png

IP Address Manage Interface説明

項番

項目名

入力形式

入力値

注意事項

2-4

IP Address[CIDR]

手動

192.168.1.254/24

プレフィックス表記で入力してください。

入力が完了したら、「保存」をクリックしてください。


次に、Networkの設定を行います。

入力が必要な項目は以下になります。

../../../_images/fw_manage_interfaces_8.png

Manage Interface説明

項番

項目名

入力形式

入力値

注意事項

2-5

Network Id

選択

FICGW-FW_NW

2-6

Subnet Id

選択

192.168.1.0/24

2-7

VRRP Group ID

手動

30

Port4からPort10のうち、VRRPを設定するインターフェイスは、同じグループIDを使用してください。異なるグループIDを使用すると、フェイルオーバーが発生したときなどに正常に動作できなくなる場合があります。

2-8

VRRP ID

手動

35

Port4からPort10のうち、VRRPを設定するインターフェイスは、異なるIDを使用してください。同じVRRP IDを使用すると正常に通信できません。

2-9

VRRP IP

手動

192.168.1.252

上記を入力して、「保存」をクリックします。これで使用するインターフェイスの設定準備が完了しました。


次に設定したインターフェイスを適用します。

Manage Interfaces画面で「今実行」をクリックします。

../../../_images/fw_manage_interfaces_9.png

ステータスが実行中になります。

../../../_images/fw_manage_interfaces_10.png

「ステータス」をクリックすると、 履歴が表示され「Manage Interfaces」プロセスの開始時刻、進捗が表示されます。

../../../_images/fw_manage_interfaces_11.png

「履歴」の右端の「ステータス詳細表示」ボタンをクリックすると内容を確認できます。

../../../_images/fw_manage_interfaces_12.png
タスクステータス説明

タスクの色

タスクのステータス

灰色

未実行のタスク

青色

実行中のタスク

緑色

正常終了したタスク

赤色

問題が発生したタスク

すべてのステータスが「緑色」になれば正常終了です。「×」で閉じてください。

../../../_images/fw_manage_interfaces_13.png

注釈

タスクステータス問題発生時にはチュートリアル 「2.1.2.2.7. タスク ステータスと問題発生(赤色)時の対応」 を確認してください。


Manage Interfacesプロセスが正常終了すると、ステータスが緑色になり終了時刻が表示されます。[×]で閉じてください。

../../../_images/fw_manage_interfaces_14.png

3.2.2.2. Internet側インターフェイス設定

「3.2.2.1. FIC側インターフェイス設定」 と同様の手順でInternet側のインターフェイス設定をPort5に行います。

設定値は次の通りです。

Manage Interface説明

項番

項目名

入力形式

入力値

注意事項

2-5

Network Id

選択

INTGW-FW_NW

2-6

Subnet Id

選択

192.168.2.0/24

2-7

VRRP Group ID

手動

30

Port4からPort10のうち、VRRPを設定するインターフェイスは、同じグループIDを使用してください。異なるグループIDを使用すると、フェイルオーバーが発生したときなどに正常に動作できなくなる場合があります。

2-8

VRRP ID

手動

36

Port4からPort10のうち、VRRPを設定するインターフェイスは、異なるIDを使用してください。同じVRRP IDを使用すると正常に通信できません。

2-9

VRRP IP

手動

192.168.2.252

3.2.2.3. ロードバランサー側インターフェイス設定

「3.2.2.1. FIC側インターフェイス設定」 と同様の手順で ロードバランサー側のインターフェイス設定をPort6に行います。

設定値は次の通りです。

Manage Interface説明

項番

項目名

入力形式

入力値

注意事項

2-5

Network Id

選択

FW-LB_NW

2-6

Subnet Id

選択

192.168.3.0/24

2-7

VRRP Group ID

手動

30

Port4からPort10のうち、VRRPを設定するインターフェイスは、同じグループIDを使用してください。異なるグループIDを使用すると、フェイルオーバーが発生したときなどに正常に動作できなくなる場合があります。

2-8

VRRP ID

手動

37

Port4からPort10のうち、VRRPを設定するインターフェイスは、異なるIDを使用してください。同じVRRP IDを使用すると正常に通信できません。

2-9

VRRP IP

手動

192.168.3.1


3.3. ルーティングの設定

デバイスにスタティックルートを設定します。

セキュリティコントロールパネルから「サービス」をクリックし、「ワークフロー」をクリックし、「Cluster Route Management」をクリックしてください

../../../_images/fw_route_management_1.png

下記の画面が表示されます。

../../../_images/fw_route_management_2.png

注釈

初期状態ではお客さまネットワーク用のルートは設定されていません。 デフォルト ゲートウェイも設定されていないので、お客さまのネットワーク環境に応じて設定する必要があります。


3.3.1. ルーティング追加

ここでは、以下の宛先に対してルーティングを追加します。

  • FIC向け

  • インターネットクライアント向け

  • Webネットワーク向け

  • ロードバランサーリスナーIP向け


3.3.1.1. FIC向けルーティング追加

「ネットワーク管理」の画面中央に表示されている「Manage Routes」をクリックします。

../../../_images/fw_route_management_3.png

「追加」をクリックします。

../../../_images/fw_route_management_4.png

入力が必要な項目は以下になります。

../../../_images/fw_route_management_5.png
ルーティング設定項目説明

項番

項目名

入力形式

入力値

注意事項

3-1

Destination IP

手動

XXX.XXX.XXX.XXX

FIC接続先のお客様環境のアドレスを入力してください

3-2

Mask

手動

XXX.XXX.XXX.XXX

FIC接続先のお客様環境のアドレスマスクを入力してください

3-3

Gateway

手動

192.168.1.1

3-4

Interface

選択

Port4

上記を入力して、「保存」をクリックします。これでルーティングの追加準備が完了しました。


設定が準備できたら、「今実行」をクリックして設定の適用を開始します。

../../../_images/fw_route_management_6.png

3.3.1.2. インターネット向けルーティング追加

「3.3.1.1. FIC向けルーティング追加」 と同様の手順でインターネット向けのルーティングを追加します。

設定値は次の通りです。

ルーティング設定項目説明

項番

項目名

入力形式

入力値

注意事項

3-1

Destination IP

手動

0.0.0.0

3-2

Mask

手動

0.0.0.0

3-3

Gateway

手動

192.168.2.1

3-4

Interface

選択

Port5


3.3.1.3. Webネットワーク向けルーティング追加

「3.3.1.1. FIC向けルーティング追加」 と同様の手順でWebネットワーク向けのルーティングを追加します。

設定値は次の通りです。

ルーティング設定項目説明

項番

項目名

入力形式

入力値

注意事項

3-1

Destination IP

手動

192.168.4.0

3-2

Mask

手動

255.255.255.0

3-3

Gateway

手動

192.168.3.252

3-4

Interface

選択

Port6

3.3.1.4. ロードバランサーリスナーIP向けルーティング追加

「3.3.1.1. FIC向けルーティング追加」 と同様の手順でロードバランサーのリスナーIP向けのルーティングを追加します。

設定値は次の通りです。

ルーティング設定項目説明

項番

項目名

入力形式

入力値

注意事項

3-1

Destination IP

手動

192.168.100.100

3-2

Mask

手動

255.255.255.255

3-3

Gateway

手動

192.168.3.252

3-4

Interface

選択

Port6


3.3.1.4. スタティックルートの確認

スタティックルートの一覧に作成した4個のスタティックルートが存在していることを確認してください。

Destination IP/Mask/Gateway/Interfaceがパラメータシート通りになっているか確認してください。

3.4. オブジェクトの設定

ファイアウォール ポリシーの設定は、IPアドレスを直接入力するのではなく、アドレス オブジェクトとして設定して使用します。

追加するポリシーは以下になります。

  • クライアントPCからFIC経由でWebサーバーへのSSHを許可

  • クライアントPCからFIC経由でWebサーバーへのhttp、httpsを許可

  • クライアントPCからインターネット経由でWebサーバーへのhttp、httpsを許可

  • 各コンポーネントからインターネットへ抜けていく全通信を許可

../../../_images/fw_policy_overview.png

注釈

初期状態で [All] という、全てのアドレスを表す アドレス オブジェクト が利用できます。[All] は変更せずに、ご利用ください。

セキュリティコントロールパネルから「デバイス」をクリックし、対象デバイスのMasterをクリックしてください。

../../../_images/fw_master_select.png

デバイスの概説が表示されるので、「コンフィグ」をクリックしてください。

../../../_images/fw_config.png

3.4.1. アドレスオブジェクトの設定

ここでは以下のオブジェクトを作成します。

  • ロードバランサーのリスナーIPアドレス

  • FICクライアントアドレス

  • サーバーインスタンスアドレス


3.4.1.1. アドレスオブジェクトの設定:FIC接続ネットワークアドレス

画面左側の「Address Object」をクリックします。

画面右側の Address Object 画面で[追加]をクリックします。

../../../_images/fw_address_object_1.png

入力が必要な項目は以下になります。

../../../_images/fw_address_object_2.png
アドレスオブジェクト設定項目説明

項番

項目名

入力形式

入力値

注意事項

4-1

Address Name

手動

client_FIC

英数字のみ入力が可能です。

4-2

Type

選択

Subnet

4-3

IP Address

入力

XXX.XXX.XXX.XXX

FIC接続先のお客様環境のアドレスを入力してください

4-4

Subnet Mask

入力

XXX.XXX.XXX.XXX

FIC接続先のお客様環境のアドレスマスクを入力してください

4-7

Interface

選択

Port4

上記を入力して、「保存」をクリックします。これでアドレスオブジェクトの追加準備が完了しました。


「変更の保存」をクリックして、設定をデバイスへ適用します。

../../../_images/fw_commit.png

注釈

ファイアウォールポリシーを作成する前に、必ずオブジェクトの保存[変更の保存]を実施してください。


3.4.1.2. アドレスオブジェクトの設定:ロードバランサーのリスナーIPアドレス

「3.4.1.1. アドレスオブジェクトの設定:FIC接続ネットワークアドレス」 と同様の手順でロードバランサーのリスナーIPアドレスをアドレスオブジェクトとして設定します。

設定値は次の通りです。

アドレスオブジェクト設定項目説明

項番

項目名

入力形式

入力値

注意事項

4-1

Address Name

手動

service_web

英数字のみ入力が可能です。

4-2

Type

選択

Subnet

4-3

IP Address

入力

192.168.100.100

ロードバランサーのリスナーIPアドレスを入力してください。

4-4

Subnet Mask

入力

255.255.255.255

4-7

Interface

選択

Port6

3.4.1.3. アドレスオブジェクトの設定:サーバーインスタンスアドレス

「3.4.1.1. アドレスオブジェクトの設定:FIC接続ネットワークアドレス」 と同様の手順でサーバーインスタンスのアドレスをアドレスオブジェクトとして設定します。

設定値は次の通りです。

アドレスオブジェクト設定項目説明

項番

項目名

入力形式

入力値

注意事項

4-1

Address Name

手動

mainte_SV

英数字のみ入力が可能です。

4-2

Type

選択

IP Range

4-5

Start IP Address

入力

192.168.4.253

サーバーインスタンス1号機のアドレスを入力してください。

4-6

End IP Address

入力

192.168.4.254

サーバーインスタンス2号機のアドレスを入力してください。

4-7

Interface

選択

Port6

3.5. Service Groupの設定

画面左側の「Service Group」をクリックします。

画面右側の Service Group 画面で[追加]をクリックします。

../../../_images/fw_service_group_1.png

入力が必要な項目は以下になります。

../../../_images/fw_service_group_2.png
Service Group設定項目説明

項番

項目名

入力形式

入力値

注意事項

5-1

Group Name

手動

access_WEB

入力が完了したら、「追加」をクリックします。


入力が必要な項目は以下になります。

../../../_images/fw_service_group_3.png
Service Group設定項目説明

項番

項目名

入力形式

入力値

注意事項

5-2

Members

選択

HTTP

入力が完了したら、「保存」をクリックします。


オブジェクト画面で[追加]をクリックします。

../../../_images/fw_service_group_4.png

入力が必要な項目は以下になります。

../../../_images/fw_service_group_5.png
Service Group設定項目説明

項番

項目名

入力形式

入力値

注意事項

5-3

Members

選択

HTTPS

入力が完了したら、「保存」をクリックします。


オブジェクト画面で[保存]をクリックします。

../../../_images/fw_service_group_6.png

これでDestination NATの追加準備が完了しました。


「変更の保存」をクリックして、設定をデバイスへ適用します。

../../../_images/fw_commit.png

3.5.1. Destination NATの設定(Internet側)

Destination NATのイメージ図は以下になります。

../../../_images/fw_dnat_overview.png

画面左側の「Destination NAT」をクリックし、画面右側の Destination NAT 画面で「追加」をクリックします。

../../../_images/fw_dnat_1.png

入力が必要な項目は以下になります。

../../../_images/fw_dnat_2.png
Destination NAT設定項目説明

項番

項目名

入力形式

入力値

注意事項

6-1

NAT Name

手動

DNAT_INT

英数字のみ入力が可能です。

6-2

External IP Address

手動

XXX.XXX.XXX.XXX

払い出されたグローバルIPアドレス(可変)を入力してください。

6-3

Mapped IP Address

手動

192.168.100.100

ロードバランサーのリスナーIPを入力してください。

6-4

Exteernal Interface

選択

Port5

Internet側のポート番号を選択してください。

上記を入力して、「保存」をクリックします。これでDestination NATの追加準備が完了しました。


「変更の保存」をクリックして、設定をデバイスへ適用します。

../../../_images/fw_commit.png

3.5.2. Source NATの設定

Source NATのイメージ図は以下になります。

../../../_images/fw_snat_overview.png

画面左側の「Source NAT」をクリックし、画面右側の Source NAT 画面で「追加」をクリックします。

../../../_images/fw_snat_1.png

入力が必要な項目は以下になります。

../../../_images/fw_snat_2.png
Source NAT設定項目説明

項番

項目名

入力形式

入力値

注意事項

7-1

NAT Name

手動

SNAT

英数字のみ入力が可能です。

7-2

Start IP Addresss

手動

XXX.XXX.XXX.XXX

払い出されたグローバルIPアドレス(可変)を入力してください。

7-3

End IP Addresss

手動

XXX.XXX.XXX.XXX

払い出されたグローバルIPアドレス(可変)を入力してください。

上記を入力して、「保存」をクリックします。これでSource NATの追加準備が完了しました。


「変更の保存」をクリックして、設定をデバイスへ適用します。

../../../_images/fw_commit.png

3.6. ファイアウォールポリシーの設定

追加するポリシーは以下になります。

  • クライアントPCからFIC経由でWebサーバーへのSSHを許可

  • クライアントPCからFIC経由でWebサーバーへのhttp、httpsを許可

  • クライアントPCからインターネット経由でWebサーバーへのhttp、httpsを許可

  • 各コンポーネントからインターネットへ抜けていく全通信を許可


3.6.1. ポリシーの設定:クライアントPCからFIC経由でWebサーバーへのSSHを許可

注釈

ファイアウォール ポリシーは上から順に判定し、合致するものがあればそのポリシーを適用する(それより下のポリシーでは判定されない)ので、ポリシーの並び順に注意してください。IDはポリシーの作成順であり並び順を示しません。

ポリシーのオブジェクト画面で[Move befor/Move after]を指定しても[変更の保存]で設定を適用するまで画面上の並び順は追加順のまま表示されます。


画面左側の「Firewall Policy」をクリックします。


画面右側の Firewall Policy 画面で[追加]をクリックします。

../../../_images/fw_firewall_policy_1.png

入力が必要な項目は以下になります。

../../../_images/fw_firewall_policy_2.png
ファイアウォールポリシー設定項目説明

項番

項目名

入力形式

入力値

注意事項

8-1

Enable

選択

チェック有り

8-2

Incoming Interface

選択

Port4

8-3

Source Address

選択

client_FIC

8-4

Outgoing Interface

選択

Port6

8-5

Destination Address Type

選択

Address Object

8-6

Destination Address

選択

mainte_SV

8-7

Service

選択

SSH

8-8

Action

選択

ACCEPT

8-9

NAT

選択

チェック無し

8-11

Log

選択

disable


「変更の保存」をクリックして、設定をデバイスへ適用します。

../../../_images/fw_commit.png

3.6.2. ポリシーの設定:クライアントPCからFIC経由でWebサーバーへのhttp、hpptsを許可

「3.6.1. ポリシーの設定:クライアントPCからFIC経由でWebサーバーへのSSHを許可」 と同様の手順でクライアントPCからFIC経由でWebサーバーへのhttp、hpptsを許可するポリシーを設定します。

設定値は次の通りです。

ファイアウォールポリシー設定項目説明

項番

項目名

入力形式

入力値

注意事項

8-1

Enable

選択

チェック有り

8-2

Incoming Interface

選択

Port4

8-3

Source Address

選択

client_FIC

8-4

Outgoing Interface

選択

Port6

8-5

Destination Address Type

選択

Address Object

8-6

Destination Address

選択

service_web

8-7

Service

選択

access_WEB

8-8

Action

選択

ACCEPT

8-9

NAT

選択

チェック無し

8-11

Log

選択

disable

3.6.3. ポリシーの設定:クライアントPCからインターネット経由でWebサーバーへのhttp、httpsを許可

「3.6.1. ポリシーの設定:クライアントPCからFIC経由でWebサーバーへのSSHを許可」 と同様の手順でクライアントPCからインターネット経由でWebサーバーへのhttp、httpsを許可するポリシーを設定します。

設定値は次の通りです。

ファイアウォールポリシー設定項目説明

項番

項目名

入力形式

入力値

注意事項

8-1

Enable

選択

チェック有り

8-2

Incoming Interface

選択

Port5

8-3

Source Address

選択

all

8-4

Outgoing Interface

選択

Port6

8-5

Destination Address Type

選択

NAT Object

8-6

Destination NAT

選択

DNAT_INT

8-7

Service

選択

access_WEB

8-8

Action

選択

ACCEPT

8-9

NAT

選択

チェック無し

8-11

Log

選択

disable

3.6.4. ポリシーの設定:各コンポーネントからインターネットへ抜けていく全通信を許可

「3.6.1. ポリシーの設定:クライアントPCからFIC経由でWebサーバーへのSSHを許可」 と同様の手順で各コンポーネントからインターネットへ抜けていく全通信を許可するポリシーを設定します。

設定値は次の通りです。

ファイアウォールポリシー設定項目説明

項番

項目名

入力形式

入力値

注意事項

8-1

Enable

選択

チェック有り

8-2

Incoming Interface

選択

Port6

8-3

Source Address

選択

all

8-4

Outgoing Interface

選択

Port5

8-5

Destination Address Type

選択

Address Object

8-6

Destination Address

選択

all

8-7

Service

選択

all

8-8

Action

選択

ACCEPT

8-9

NAT

選択

チェック有り

8-10

NAPT Object

選択

SNAT

8-11

Log

選択

disable

3.7. ファイアウォールポリシーの変更(編集/移動/複製/削除)

画面左側のFirewall Policy をクリックします。


画面右側の Firewall Policy 画面で変更対象の行を選択して、操作内容に応じてボタンをクリックします。

../../../_images/fw_firewall_policy_3.png

ファイアウォールポリシーの各ボタンの説明

ボタン

説明

編集

選択した ファイアウォールポリシーの設定を変更します。

上へ移動

選択した ファイアウォールポリシーの並び順を1つ上に移動します。

下へ移動

選択した ファイアウォールポリシーの並び順を1つ下に移動します。

複製

選択した ファイアウォールポリシーを複製して、同じ設定値が入力されたファイアウォールポリシー設定画面が開きます。同じような値で別のファイアウォールポリシーを定義したいときに便利です。

削除

選択した ファイアウォール ポリシー を削除します。