Managed Firewall / Managed Load Balancer構成例 (ツーアーム)


1. Managed Firewallの設定

システム構成のページ の設定内容に基づき、Managed Firewallの設定を行っていきます。

Managed Firewallの構築は次のような流れで行います。


その他必要に応じて下記の設定も可能となります。詳細は下記チュートリアルをご確認ください。

syslogサーバへのログ送信 「2.1.8. お客様管理syslogサーバーへのログ送信設定」
タイムゾーンの設定 「2.1.9. タイムゾーンの設定」
タイムゾーンの設定 「2.1.10. セキュリティインシデントレポートの通知設定」

1.1 事前準備

セキュリティコントロールパネルへのアクセス


セキュリティコントロールパネルは、Smart Data Platformポータルおよびクラウドコンピューティング画面からアクセス可能です。

詳細についてはチュートリアル 「セキュリティコントロールパネルへのアクセス」 を確認してください。


ブラウザーの設定


セキュリティメニューのオーダーにあたっては、ご利用のブラウザーにおいて、ポップアップロックの解除が必要となります。

詳細についてはチュートリアル 「ブラウザーの設定」 を確認してください。


1.2 Managed Firewallを作成する

. 「Network-based Security」→「Managed Firewall/Managed UTM」の「Order」をクリックします。

../../../_images/modelB_FW-order1.png

. Order画面が表示されますので、「申込種別」で「デバイス追加(HA)」を選択します。

../../../_images/modelB_FW-order2.png

. デバイス情報を設定します。

../../../_images/modelB_FW-order3.png

入力が必要な項目は次の通りです。

デバイス情報説明
項番 項目名 入力形式 入力値 注意事項
1-1 メニュー 選択 Managed Firewall  
1-2 プラン 選択 2CPU-4GB  
1-3 ゾーン/グループ 選択
zone1-groupa
zone1-groupb
No1で選択してください。
No2で選択してください。
障害耐性のため、No1とNo2でグループを分けて下さい
1-4 HAリンク1 ネットワークID01 選択 "ネットワークID"/FW-HA1 HA線用に作成したロジカルネットワークを選択してください
1-5 HAリンク1 サブネットID01 手動 192.168.101.2 ~ 192.168.101.6  
1-6 HAリンク1 IPアドレス01 手動
192.168.101.3
192.168.101.4
No1に入力してください
No2に入力してください
1-7 HAリンク2 ネットワークID01 選択 "ネットワークID"/FW-HA2 HA線用に作成したロジカルネットワークを選択してください
1-8 HAリンク2 サブネットID01 手動 192.168.102.2 ~ 192.168.102.6  
1-9 HAリンク2 IPアドレス01 手動
192.168.102.3
192.168.102.4
No1に入力してください
No2に入力してください

注釈

No.2の行でグレーアウトされている項目は、No.1の行で入力した値が自動でコピーされるため、入力する必要はありません。


. 入力が終わったら「送信」をクリックしてください。


. 確認ダイアログが表示されますので、申し込む場合は「保存」をクリックしてください。 ※取り止める場合は「閉じる」をクリックしてください。

../../../_images/modelB_FW-order5.png

. 申し込んだオーダーの処理が完了すると、下記のメッセージが表示されます。その後、ポップアップ画面は自動で閉じ、Order画面がリロードされます。

../../../_images/modelB_FW-order6.png

. 「オーダー状況のお知らせ」が表示されます。内容を確認後、「オーダー状況確認チェック」にチェックを入れて、「OK」をクリックしてください。

../../../_images/modelB_FW-order7.png

注釈

「オーダー状況確認チェック」には、必ずチェックを入れてください。入れずにダイアログを閉じますと、次にOrder画面に遷移した際にも再び表示されます。

エラーメッセージが表示される場合は、Smart Data Platform チケットシステムでお問い合わせください。



1.3 HA構成のインターフェース設定

初期状態は未設定となります。


<HAインターフェース設定の制約事項>

  • 使用禁止IP address

次のIPアドレスは、インターフェース、ルーティング、アドレスオブジェクト、Destination NAT、Source NATに使用することができません。 これらのIPアドレスを使用すると、正常に動作しない場合があります。

ISP shared address 100.64.0.0/10

  • 使用禁止VRRP ID

次の VRRP ID は、Managed Firewall/UTM および隣接する機器のVRRP ID に使用できません。

ID 11 (仮想MACアドレス00:00:5e:00:01:0b)

注釈

Port 1は、本メニュー提供のために必要なポートとしてあらかじめ確保されており、非表示です。

Port 2, 3はHA構成のために必要なポートです。あらかじめ設定済の内容が表示され、お客さまによる変更はできません。

Port 4~10は、お客さまで利用できるインターフェースです。


インターフェース設定準備

. セキュリティコントロールパネルから「Operation」をクリックし、マネージャホームページ中央の「サービス」、「ワークフロー」を選択した先の画面に表示されている「Cluster Port Management」をクリックすると、インターフェース設定の詳細画面が開きます。

../../../_images/modelB_FW-junbi1.png

. 最新のお客さまネットワーク情報を参照可能にするため、設定対象のデバイスをクリックで選択して[Get Network Info]をクリックします。

../../../_images/modelB_FW-junbi2.png

. [タスク ステータス]が表示されます。Get Network Infoのタスクが「緑色」になれば正常終了です。[クローズ]で閉じてください。

../../../_images/modelB_FW-junbi3.png

インターフェース設定

ここでは、以下のインターフェースを作成します。

(1)信頼されたセグメント側インターフェース

(2)外部セグメント側インターフェース

(3) FWセグメント側インターフェース


(1) 信頼されたセグメント側のインターフェース設定

. 設定対象のHAペアをクリックで選択し、[Manage Interfaces]をクリックします。

../../../_images/modelB_FW-int-vpn1.png

. 「Manage Interfaces」の画面が開きます。(Port 2,3は「Manage Interfaces」の画面には表示されません。)

Port4をクリックで選択して、「編集」をクリックします。

../../../_images/modelB_FW-int-vpn2.png

. [Enable Port]をチェックすると設定値を入力できます。

../../../_images/modelB_FW-int-vpn3.png

. [Device ID]に表示されるデバイスのうち、1つ目のデバイスを選択し、編集を押します。

../../../_images/modelB_FW-int-vpn4.png

. デバイスに設定するIPアドレスを入力します。

../../../_images/modelB_FW-int-vpn5.png

IP Address Manage Interface説明
項番 項目名 入力形式 入力値 注意事項
2-4 IP Address[CIDR] (冗長構成の1つ目) 手動 192.168.0.252/24 プレフィックス表記で入力してください。

. 入力が完了したら、「保存」をクリックしてください。


. [Device ID]に表示されるデバイスから、2つ目のデバイスを選択し、編集を押します。

../../../_images/modelB_FW-int-vpn4.png

. 設定値を入力します。

../../../_images/modelB_FW-int-vpn5.png

項番 項目名 入力形式 入力値 注意事項
2-5 IP Address[CIDR] (冗長構成の2つ目) 手動 192.168.0.253/24 プレフィックス表記で入力してください。

. 入力が完了したら、「保存」をクリックしてください。


10. 次に、Networkの設定を行います。

入力が必要な項目は以下になります。

../../../_images/modelB_FW-int-vpn8.png

Manage Interface 入力項目の説明
項番 項目名 入力形式 入力値 注意事項
2-6 Network Id 選択 trust_NW あらかじめ作成した「信頼されたセグメント(192.168.0.0/24)」のロジカルネットワークを選択してください
2-7 Subnet Id 選択 192.168.0.0/24  
2-8 VRRP Group ID 手動 10 Port4からPort10のうち、VRRPを設定するインターフェースは、同じグループIDを使用してください。異なるグループIDを使用すると、フェイルオーバーが発生したときなどに正常に動作できなくなる場合があります。
2-9 VRRP ID 手動 20 Port4からPort10のうち、VRRPを設定するインターフェースは、異なるIDを使用してください。同じVRRP IDを使用すると正常に通信できません。
2-10 VRRP IP 手動 192.168.0.254  

11. 入力したら、「保存」をクリックします。これで使用するインターフェースの設定準備が完了しました。


次に設定したインターフェースを適用します。

12. Manage Interfaces画面で「今実行」をクリックします。

../../../_images/modelB_FW-int-vpn9.png

[タスク ステータス]が表示されます。タスクステータスの説明は次の通りです。

../../../_images/modelB_FW-int-status1.png
タスクステータス説明
タスクの色 タスクのステータス
灰色 未実行のタスク
青色 実行中のタスク
緑色 正常終了したタスク
赤色 問題が発生したタスク

13. すべてのステータスが「緑色」になれば正常終了です。「×」で閉じてください。


タスクステータス問題発生時にはチュートリアル 「2.1.2.2.7. タスク ステータスと問題発生(赤色)時の対応」 を確認してください。



(2) 外部セグメント側のインターフェース設定

上記 (1)の手順を用いて、Internet側のインターフェース設定を行います。

設定値は次の通りです。


項番 項目名 入力形式 入力値 注意事項
2-4 IP Address[CIDR] (冗長構成の1つ目) 手動 10.0.10.252/24 プレフィックス表記で入力してください。
2-5 IP Address[CIDR] (冗長構成の2つ目) 手動 10.0.10.253/24 プレフィックス表記で入力してください。
2-6 Network Id 選択 INTGW-FW_NW あらかじめ作成した「外部されたセグメント(10.0.10.0/24)」のロジカルネットワークを選択してください
2-7 Subnet Id 選択 10.0.10.0/24  
2-8 VRRP Group ID 手動 10 上記1.の手順で設定したグループIDと同じものを設定してください。
2-9 VRRP ID 手動 10 Port4からPort10のうち、VRRPを設定するインターフェースは、異なるIDを使用してください。同じVRRP IDを使用すると正常に通信できません。
2-10 VRRP IP 手動 10.0.10.254  


(3) FWセグメント側インターフェース設定

同様に、1.の手順を用いてロードバランサ―側のインターフェース設定を行います。

設定値は次の通りです。


項番 項目名 入力形式 入力値 注意事項
2-4 IP Address[CIDR] (冗長構成の1つ目) 手動 192.168.10.252/24 プレフィックス表記で入力してください。
2-5 IP Address[CIDR] (冗長構成の2つ目) 手動 192.168.10.253/24 プレフィックス表記で入力してください。
2-6 Network Id 選択 FW-LB_NW あらかじめ作成した「FWセグメント(192.168.10.0/24)」のロジカルネットワークを選択してください
2-7 Subnet Id 選択 192.168.10.0/24  
2-8 VRRP Group ID 手動 10 上記1.の手順で設定したグループIDと同じものを設定してください。
2-9 VRRP ID 手動 30 Port4からPort10のうち、VRRPを設定するインターフェースは、異なるIDを使用してください。同じVRRP IDを使用すると正常に通信できません。
2-10 VRRP IP 手動 192.168.10.254  


1.4 ルーティングの設定

デバイスにスタティックルートを設定します。

HA構成の場合、ルーティングは[ワークフロー]で設定します。[サービス] - [ワークフロー] -[Cluster Route Management]をクリックしてください。

../../../_images/modelB_FW-route0.png

注釈

初期状態ではお客さまネットワーク用のルートは設定されていません。 デフォルト ゲートウェイも設定されていないので、お客さまのネットワーク環境に応じて設定する必要があります。

デフォルトゲートウェイとして設定したい場合は、Destination IP 0.0.0.0、Mask 0.0.0.0と入力し、Gatewayアドレスとインターフェースを指定してください。


ここでは、以下の宛先に対してルーティングを追加します。

1.外部アドレスのクライアント向け

2.Managed Load Balancer リスナーIP向け


外部アドレスのクライアント向けルーティング追加

. [ワークフロー]に表示されている[Cluster Route Management]の[Manage Routes]をクリックします。

../../../_images/modelB_FW-route-vpn1.png

. 「追加」をクリックします。

../../../_images/modelB_FW-route-vpn2.png

. 設定値を入力します。

../../../_images/modelB_FW-route-vpn3.png
ルーティング設定項目説明
項番 項目名 入力形式 入力値 注意事項
3-1 Destination IP 手動 0.0.0.0  
3-2 Mask 手動 0.0.0.0  
3-3 Gateway 手動 10.0.10.100 10.0.10.100
3-4 Interface 選択 Port4  

. 上記を入力したら、「保存」をクリックします。これでルーティングの追加準備が完了しました。


. 設定が準備できたら、「今実行」をクリックして設定の適用を開始します。

../../../_images/modelB_FW-route-vpn4.png


Managed Load Balancer リスナーIP向けルーティング追加

同様に、1.の手順を用いて、Managed Load Balancer リスナーIP向けのルーティング追加を追加します。

設定値は次の通りです。

ルーティング設定項目説明
項番 項目名 入力形式 入力値 注意事項
3-1 Destination IP 手動 172.16.100.0  
3-2 Mask 手動 255.255.255.0  
3-3 Gateway 手動 192.168.10.251  
3-4 Interface 選択 Port6  

ルーティングの確認

2つの設定が終わったら、スタティックルートの一覧に作成した2個のスタティックルートが存在していることを確認してください。


1.5 アドレスオブジェクトの作成

ファイアウォール ポリシーの設定において、IPアドレスを直接入力するのではなく、アドレス オブジェクトを作成して使用します。


ここでは以下のアドレスオブジェクトを作成します。

1.信頼されたクライアント端末のアドレス

2.Managed Load Balancerのアドレス


アドレスオブジェクトの作成:信頼されたクライアント端末のアドレス

. アドレス オブジェクト は デバイス管理 から設定します。

../../../_images/modelB_device1.png

. HA構成のデバイスの設定するときは、常にデバイス名の若い方の番号をクリックし、[コンフィグ]をクリックしてください。

../../../_images/modelB_device2.png

. オブジェクト画面が表示されます。

../../../_images/modelB_device3.png

注釈

初期状態で [All] という、全てのアドレスを表す アドレス オブジェクト が利用できます。[All] は変更せずに、ご利用ください。



. 画面左側のオブジェクト画面から Address Object をクリックします。


. 画面右側の Address Object 画面で[追加]をクリックします。

../../../_images/modelB_FW-object-vpn1.png

.設定値を入力します。

../../../_images/modelB_FW-object-vpn2.png
アドレスオブジェクト設定項目説明
項番 項目名 入力形式 入力値 注意事項
4-1 Address Name 手動 client_vpn 英数字のみ入力が可能です。
4-2 Type 選択 Subnet  
4-3 IP Address 入力 192.168.0.0  
4-4 Subnet Mask 入力 255.255.255.0  
4-5 Interface 選択 Port4  

.上記を入力したら、「保存」をクリックします。これでアドレスオブジェクトの追加準備が完了しました。


.「変更の保存」をクリックして、設定をデバイスへ適用します。

../../../_images/modelB_FW-object-commit.png

注釈

ファイアウォールポリシーを作成する前に、必ずオブジェクトの保存[変更の保存]を実施してください。


アドレスオブジェクトの設定:Managed Load Balancerのアドレス

同様に、(1) の手順を用いて、Managed Load Balancerのアドレスをアドレスオブジェクトとして設定します。

設定値は次の通りです。

Managed Load Balancerのアドレス用のアドレスオブジェクト設定項目説明
項番 項目名 入力形式 入力値 注意事項
4-1 Address Name 手動 mainte_LB 英数字のみ入力が可能です。
4-2 Type 選択 Subnet  
4-3 IP Address 入力 172.16.100.100  
4-4 Subnet Mask 入力 255.255.255.255  
4-5 Interface 選択 Port6  

1.6 NATオブジェクトの作成

Destination NATの作成(外部アドレス側)

図のような内容で、Destination NATの設定をします。

次の手順で、(1) HTTP用 と (2) HTTPS用 の2つの設定を行います。

../../../_images/modelB_FW-DNAT-detail1.png

(1) HTTP用のDestination NAT

. 画面左側のオブジェクト画面から「Destination NAT」をクリックし、画面右側の Destination NAT 画面で「追加」をクリックします。

../../../_images/modelB_FW-DNAT1.png

. 設定値を入力します。

../../../_images/modelB_FW-DNAT2.png

設定値は次の通りです。

Destination NAT設定項目説明
項番 項目名 入力形式 入力値 注意事項
6-1 NAT Name 手動 DNAT1_153.153.149.232 英数字のみ入力が可能です。
6-2 External IP Address 手動 153.153.149.232 払い出されたグローバルIPアドレス(可変)を入力してください。
6-3 Mapped IP Address 手動 172.16.100.100 ロードバランサ―のVirtual IPを入力してください。
6-4 External Interface 選択 Port5 Internet側のポート番号を選択してください。
6-5 Port Forward 選択 Yes(チェック)  
6-6 Protocol 選択 TCP  
6-7 External Server Port 手動 80  
6-8 Mapped Port 手動 80  

. 「変更の保存」をクリックして、設定をデバイスへ適用します。

../../../_images/modelB_FW-object-commit.png

(2) HTTPS用のDestination NAT

上記(1)の手順で、HTTPS用の設定を行います。


設定値は次の通りです。

Destination NAT設定項目説明
項番 項目名 入力形式 入力値 注意事項
6-1 NAT Name 手動 DNAT2_153.153.149.232 英数字のみ入力が可能です。
6-2 External IP Address 手動 153.153.149.232 払い出されたグローバルIPアドレス(可変)を入力してください。
6-3 Mapped IP Address 手動 172.16.100.200 ロードバランサ―のVirtual IPを入力してください。
6-4 External Interface 選択 Port5 Internet側のポート番号を選択してください。
6-5 Port Forward 選択 Yes(チェック)  
6-6 Protocol 選択 TCP  
6-7 External Server Port 手動 443  
6-8 Mapped Port 手動 443  

これでDestination NATの追加準備が完了しました。



Source NATの作成

. 画面左側のオブジェクト画面から「Source NAT」をクリックし、画面右側の Source NAT 画面で「追加」をクリックします。

../../../_images/modelB_FW-SNAT1.png

. 設定値を入力します。

../../../_images/modelB_FW-SNAT2.png

入力が必要な項目は以下の通りです。

Source NAT設定項目説明
項番 項目名 入力形式 入力値 注意事項
7-1 NAT Name 手動 SNAT_153.153.149.232 英数字のみ入力が可能です。
7-2 Start IP Addresss 手動 153.153.149.232 払い出されたグローバルIPアドレス(可変)を入力してください。
7-3 End IP Addresss 手動 153.153.149.232 払い出されたグローバルIPアドレス(可変)を入力してください。

. 入力をしたら「保存」をクリックします。これでSource NATの追加準備が完了しました。


. 「変更の保存」をクリックして、設定をデバイスへ適用します。

../../../_images/modelB_FW-object-commit.png

1.7 ファイアウォールポリシーの設定

追加するポリシーは以下の通りです。

1.信頼されたクライアント端末からWebサーバーへのhttpを許可

2.外部アドレスのクライアント端末からWebサーバーへのhttp、httpsを許可

3.各コンポーネントからインターネットへ抜けていく全通信を許可


ポリシーの設定:信頼されたクライアント端末からWebサーバーへのhttpを許可

注釈

ファイアウォール ポリシーは上から順に判定し、合致するものがあればそのポリシーを適用する(それより下のポリシーでは判定されない)ので、ポリシーの並び順に注意してください。IDはポリシーの作成順であり並び順を示しません。

ポリシーのオブジェクト画面で[Move befor/Move after]を指定しても[変更の保存]で設定を適用するまで画面上の並び順は追加順のまま表示されます。


. 画面左側のオブジェクト画面から Firewall Policy をクリックします。

「オブジェクト」→「Firewall Policy」→「Firewall Policy」


. 画面右側の Firewall Policy 画面で[追加]をクリックします。

../../../_images/modelB_FW-policy-vpn-lb1.png

クライアント端末からmLBへのhttpを許可するための設定項目は次の通りです。

../../../_images/modelB_FW-policy-vpn-lb2.png
ファイアウォールポリシー設定項目説明
項番 項目名 入力形式 入力値 注意事項
7-1 Enable 選択 チェック有り  
7-2 Incoming Interface 選択 Port4  
7-3 Source Address 選択 client_vpn  
7-4 Outgoing Interface 選択 Port6  
7-5 Destination Address Type 選択 Address Object  
7-6 Destination Address 選択 mainte_LB  
7-7 Service 選択 HTTP  
7-8 Action 選択 ACCEPT  
7-9 NAT 選択 チェック無し  
7-11 Log 選択 disable  

. 「変更の保存」をクリックして、設定をデバイスへ適用します。

../../../_images/modelB_FW-object-commit.png

ポリシーの設定:外部アドレスのクライアント端末からWebサーバーへのhttp、httpsを許可

同様に、1.の手順を用いて、信頼されたクライアント端末からWebサーバーへのhttp、hpptsを許可するための設定を追加します。

HTTP用の設定値は次の通りです。

ファイアウォールポリシー設定項目説明
項番 項目名 入力形式 入力値 注意事項
7-1 Enable 選択 チェック有り  
7-2 Incoming Interface 選択 Port5  
7-3 Source Address 選択 all  
7-4 Outgoing Interface 選択 Port6  
7-5 Destination Address Type 選択 NAT Object  
7-6 Destination NAT 選択 DNAT1_153.153.149.232  
7-7 Service 選択 HTTP  
7-8 Action 選択 ACCEPT  
7-9 NAT 選択 チェック無し  
7-11 Log 選択 disable  

HTTPS用の設定値は次の通りです。

ファイアウォールポリシー設定項目説明
項番 項目名 入力形式 入力値 注意事項
7-1 Enable 選択 チェック有り  
7-2 Incoming Interface 選択 Port5  
7-3 Source Address 選択 all  
7-4 Outgoing Interface 選択 Port6  
7-5 Destination Address Type 選択 NAT Object  
7-6 Destination NAT 選択 DNAT2_153.153.149.232  
7-7 Service 選択 HTTPS  
7-8 Action 選択 ACCEPT  
7-9 NAT 選択 チェック無し  
7-11 Log 選択 disable  

ポリシーの設定:各コンポーネントからインターネットへ抜けていく全通信を許可

上記 1.の手順を用いて、信頼されたクライアント端末からWebサーバーへのhttp、hpptsを許可するための設定を追加します。

設定値は次の通りです。

ファイアウォールポリシー設定項目説明
項番 項目名 入力形式 入力値 注意事項
7-1 Enable 選択 チェック有り  
7-2 Incoming Interface 選択 Port6  
7-3 Source Address 選択 all  
7-4 Outgoing Interface 選択 Port5  
7-5 Destination Address Type 選択 Address Object  
7-6 Destination Address 選択 all  
7-7 Service 選択 ALL  
7-8 Action 選択 ACCEPT  
7-9 NAT 選択 チェック有り  
7-10 NAPT Object 選択 SNAT_153.153.149.232  
7-11 Log 選択 disable  

これでポリシーの設定が終わりました。


参考: ファイアウォールポリシーの変更(編集/移動/複製/削除)

. 画面左側のオブジェクト画面から Firewall Policy をクリックします。

「オブジェクト」→「Firewall Policy」→「Firewall Policy」


. 画面右側の Firewall Policy 画面で変更対象の行を選択して、操作内容に応じてボタンをクリックします。

../../../_images/modelB_FW-policy-vpn-change.png

ファイアウォールポリシーの各ボタンの説明
ボタン 説明
編集 選択した ファイアウォールポリシーの設定を変更します。
上へ移動 選択した ファイアウォールポリシーの並び順を1つ上に移動します。
下へ移動 選択した ファイアウォールポリシーの並び順を1つ下に移動します。
複製 選択した ファイアウォールポリシーを複製して、同じ設定値が入力されたファイアウォールポリシー設定画面が開きます。同じような値で別のファイアウォールポリシーを定義したいときに便利です。
削除 選択した ファイアウォール ポリシー を削除します。

以上でManaged Firewallの設定は終わりです。

次は Managed Load Balancerの設定 に進みます。