Managed Firewall とファイアウォール(vSRX)の各機能の設定方法の比較

設定方法の比較に関しては、下記の表をご覧ください。

設定項目

Managed Fiewall Version3

vSRX

リンク

参考

リンク

参考

カスタマポータルからの申込・操作方法

セキュリティコントロールパネルへのアクセス

カスタマーポータルからの申込・操作方法

ファイアウォール インスタンスの申込方法

1.2.1. デバイスの作成(シングル構成)

ファイアウォール インスタンスの申込方法

1.2.4. デバイスの作成(HA構成)

ファイアウォール インスタンスの操作方法

2.2.1. 基本的な設定の流れ

ファイアウォール インスタンスの操作方法

ロジカルネットワークの接続

2.2.2.1. シングル構成のインターフェース設定

ファイアウォールインターフェイスの編集

2.2.18.1. シングル構成のネットワーク管理

2.2.2.2. HA構成のインターフェース設定

2.2.14.2. HA構成のネットワーク管理

VRRP用通信設定の登録

※マネージドサービスのためNTT-Comが管理しています
(セルフコントロール不可)

許可されたアドレスペアの編集

ファイアウォール インスタンスの削除方法

1.2.3. デバイスの削除(シングル構成)

ファイアウォール インスタンスの削除方法

1.2.6. デバイスの削除(HA構成)

ファイアウォールへのログイン

セキュリティコントロールパネルへのアクセス

vSRXへのログイン(CLIへのアクセス方法(SSH))

CLIへのアクセス方法(SSH)

なし

サポート対象外(設定不可)

vSRXへのログイン(CLIへのアクセス方法(SSH))

GUIへのアクセス方法(コントロールパネル)

セキュリティコントロールパネルへのアクセス

vSRXのGUI有効化

ネットワーク設定

2.2. Managed Firewall / Managed UTM Version2

ネットワーク機能設定

デフォルトゲートウェイ設定

2.2.3.1. シングル構成のルーティング設定

ファイアウォール インスタンスの申込方法

※デフォルトゲートウェイはファイアウォール作成時にのみカスタマーポータルで設定が可能です。

2.2.3.2. HA構成のルーティング設定

スタティックルート設定

2.2.3.1. シングル構成のルーティング設定

スタティックルート数 設定上限:500

スタティックルート設定

2.2.3.2. HA構成のルーティング設定

宛先をホスト(IPアドレス)に指定したスタティックルートの設定

2.2.3.1. シングル構成のルーティング設定

宛先をホスト(IPアドレス)に指定したスタティックルートの設定

2.2.3.2. HA構成のルーティング設定

宛先をネットワークアドレスに指定したスタティックルートの設定

2.2.3.1. シングル構成のルーティング設定

ネットワークアドレスを宛先に指定したスタティックルートの設定

2.2.3.2. HA構成のルーティング設定

InputIFとOutputIFを同じインタフェースを使用したスタティックルートの設定

なし

サポート対象外(設定不可)

特定のインターフェイスでパケットの送受信を行うスタティックルート設定

VRRPによる冗長設定

1.2.4. デバイスの作成(HA構成)

VRRP設定

2.2.2.2. HA構成のインターフェース設定

VRRPによる冗長性確認

※マネージドサービスのためNTT-Comが管理しています
(セルフコントロール不可)

VRRPによるネットワーク冗長化設定(VRRPグループ設定・プライオリティ設定)

VRRPの切り替わり確認

※マネージドサービスのためNTT-Comが管理しています
(セルフコントロール不可)

VRRPのPreempt設定

※シナリオの中でVRRPの切り替わり確認が行われています。

NAT機能

2.2.4. オブジェクトの設定

NAT設定

送信元IPアドレスのNAT

2.2.4.4. Source NAT の設定

Source NAT Object数:1000

送信元IPアドレスのNAT

宛先IPアドレスのNAT

2.2.4.3. Destination NAT の設定

Destination NAT Object数:1000

宛先IPアドレスのNAT

送信元IPアドレスのNAPT

2.2.4.4. Source NAT の設定

送信元IPアドレスのNAPT

2.2.30.5. NAPT(Single構成)

宛先IPアドレスとポート番号から宛先IPアドレスのNAT

2.2.4.3. Destination NAT の設定

宛先IPアドレスとポート番号のNAPT

送信元IPアドレスのNAPTと宛先IPアドレス と ポート番号からの宛先IPアドレスのNAT の組み合わせ設定

2.2.4.3. Destination NAT の設定

宛先NAPTと送信元IPアドレスNAPTの組み合わせ設定

2.2.4.4. Source NAT の設定

2.2.30.7. 送信先NAT+NAPT(Single構成)

ファイアウォール設定

2.2.7. ファイアウォール ポリシーの設定

Policy数 設定上限:1000

ファイアウォール設定

パケットフィルタリング設定

2.2.7. ファイアウォール ポリシーの設定

ステートレスファイアウォール設定

送信元IPアドレス(直接指定・範囲指定・アドレスグループ)を利用したフィルタリング設定

2.2.7. ファイアウォール ポリシーの設定

パケットの送信元IPアドレスを条件にするパケットフィルタリング設定

送信元IPとサービス(ポート番号・サービスグループ)に対して(許可・拒否)の設定

2.2.7. ファイアウォール ポリシーの設定

ゾーンベースファイアウォール設定

宛先IPアドレス(直接指定・範囲指定・アドレスグループ)を利用したフィルタリング設定

2.2.7. ファイアウォール ポリシーの設定

パケットの宛先IPアドレスを条件にするパケットフィルタリング設定

宛先IPとサービス(ポート番号、サービスグループ)に対して(許可・拒否)の設定

2.2.7. ファイアウォール ポリシーの設定

ゾーンベースファイアウォール設定

パケットフィルタリング機能をステートフルに動作させる設定

※デフォルトでステートフル動作です

アドレスグループ設定

パケットフィルタリングルール全体でステートフル機能を有効化している場合の設定変更

※デフォルトでステートフル動作です

アドレスグループ設定

パケットフィルタリング機能とNAT動作の組み合わせ設定

2.2.7. ファイアウォール ポリシーの設定

NATと併用したステートフルファイアウォール機能の設定

アドレスグループ設定

2.2.4.2. アドレス グループ の設定

Address Object数 設定上限:1000
Address Group数 設定上限:1000

アドレスグループ設定

サービスグループの設定

2.2.4.6. サービス グループ の設定

Service Object数:500
Sevice Group数 設定上限:250
1サービスグループに登録可能なサービスオブジェクト数:100

アプリケーショングループ設定

Zone-base Firewall設定

なし

サポート対象外(設定不可)

ゾーンベースファイアウォール設定

単一のインタフェースを1つのゾーンに設定

なし

サポート対象外(設定不可)

インターフェイスを1つのゾーンに所属させる設定

複数のインタフェースを1つのゾーンに設定

なし

サポート対象外(設定不可)

複数のインターフェイスを1つのゾーンに所属させる設定

ゾーン(z2)から他のゾーン(z3)への行きのフィルタリング設定

なし

サポート対象外(設定不可)

trust→untrust
アドレスセットを拒否する条件にしたゾーンベースファイアウォール設定

アドレスセットを許可する条件にしたゾーンベースファイアウォール設定

アプリケーションセットを条件にしたゾーンベースファイアウォール設定(TrustからUntrust方向へ遮断設定)

FQDNを遮断する条件にしたゾーンベースファイアウォール設定

FQDNを許可する条件にしたゾーンベースファイアウォール設定

他のゾーン(z3)からゾーン(z2)への戻りのフィルタリング設定

なし

サポート対象外(設定不可)

untrust→trust
アプリケーションセットを条件にしたゾーンベースファイアウォール設定(UntrustからTrust方向へ許可設定)

帯域制御設定

なし

サポート対象外(設定不可)

帯域制御設定

帯域制限(上限値)設定

なし

サポート対象外(設定不可)

帯域制限(上限値)設定

優先度設定(DSCPマーキング)

なし

サポート対象外(設定不可)

優先度設定(DSCP値のマーキング)

重み付け制御設定(WRR)

なし

サポート対象外(設定不可)

重み付け制御設定(WRR)

優先制御設定

なし

サポート対象外(設定不可)

優先制御設定

VPN設定

なし

サポート対象外(設定不可)

VPN設定

IPsec(サイト間トンネル)機能を用いた接続

2.2.13. IPsecの設定

※ルートベースVPNのみ対応
Managed Firewall/UTM のIPsecについてポリシーベースVPNを利用したいのですが可能ですか? – Smart Data Platform Knowledge Center (ntt.com)

IPsec(サイト間トンネル)機能を用いた接続

L2TP/IPsec を用いたリモートアクセスVPN

なし

サポート対象外(設定不可)

サポート対象外(機能としては設定可能だがサポート外)

OpenVPN(サイト間トンネル)機能を用いた接続

なし

サポート対象外(設定不可)

サポート対象外(機能としては設定可能だがサポート外)

OpenVPN(サーバー・クライアント)機能を用いた接続

なし

サポート対象外(設定不可)

サポート対象外(機能としては設定可能だがサポート外)

運用管理設定

※マネージドサービスのためNTT-Comが管理しています
(セルフコントロール不可)

運用管理設定

SNMP機能を使った監視設定

※マネージドサービスのためNTT-Comが管理しています
(セルフコントロール不可)

SNMP機能を用いた監視設定

Syslog機能を使ったログ管理設定

2.2.9. お客さま管理syslogサーバーへのログ送信設定

Syslog送信先は一つ

Syslog機能を用いたログ管理設定

保守運用者向け機能

2.2.19.1. デバイス管理 サマリー表示

保守運用者向け機能

装置状態確認方法

2.2.19.1. デバイス管理 サマリー表示

装置状態確認方法

バージョンの確認

※マネージドサービスのためNTT-Comが管理しています
(セルフ確認不可。ファームウェアのバージョンのみ確認可能)

2.2.14.1. Get Firmware Status

バージョンの確認

メモリ使用量の確認

2.2.16. デバイスKPI

データプレーンのCPU・メモリ仕様量の確認

インタフェース状態確認

2.2.16. デバイスKPI

インターフェイスの状態確認

2.2.2.1. シングル構成のインターフェース設定

2.2.18.1. シングル構成のネットワーク管理

2.2.2.2. HA構成のインターフェース設定

2.2.18.2. HA構成のネットワーク管理

ARP状態確認

なし

無通信状態となってからのARPキャッシュテーブルクリア時間:300Sec(デフォルト値、変更不可)

ARP状態確認

VRRP状態確認

2.2.19.2. デバイス管理 詳細画面

VRRP状態確認

ルーティング状態確認

2.2.19.2. デバイス管理 詳細画面

ルーティング状態確認

NAT状態確認

2.2.19.2. デバイス管理 詳細画面

NAT状態確認

VPN状態確認

2.2.19.6 IPsec Status View

VPN(IPSECトンネル)状態確認

ファイアウォール状態確認

2.2.19.2. デバイス管理 詳細画面

ゾーンベースファイアウォール状態確認

Syslogメッセージ確認

2.2.20. ログ解析

Syslogメッセージ確認

障害発生時の確認方法

2.2.19.1. デバイス管理 サマリー表示

障害発生時の確認方法

VRRP障害

2.2.19.1. デバイス管理 サマリー表示

VRRP障害

IPsec 障害

2.2.19.6 IPsec Status View

IPsec障害

インスタンス再起動

Single構成:2.2.18.1.2 デバイスのSTOP/START

HA構成:2.2.18.2.4 デバイスのSTOP/START

疎通確認方法(Ping)

2.2.18.1.4. Ping Execution

疎通確認方法(Ping)

通信経路確認方法(Traceroute)

なし

サポート対象外(未実装)

通信経路確認方法(traceroute)

コンフィグ管理

※マネージドサービスのためNTT-Comが管理しています
(ポータル上でのGUI確認)

コンフィグレーション管理設定

コンフィグ保存

※マネージドサービスのためNTT-Comが管理しています
(コンフィグエクスポートは可能)

2.2.18.1.5. Config Export機能

コンフィグレーションをファイル保存する方法

コンフィグリストア

※マネージドサービスのためNTT-Comが管理しています
(ポータル上でのGUIより投入)

コンフィグレーションの保存・リストア

異なるバージョン間の切替

なし

(ファームフェアバージョンアップは可能)

2.2.14. ファームウェアバージョンアップ機能

異なるバージョン間の切替

異なるバージョン間の切替

なし

異なるバージョン間の切替 (パターン1)

異なるバージョン間の切替 (パターン2)

(参考)ファイアウォールの性能測定結果

2.2.33. (参考)Managed FW/UTMの性能測定結果

(参考)ファイアウォール(vSRX)の性能測定結果

非暗号化通信試験

なし

非暗号化通信試験

暗号化通信試験

なし

暗号化通信試験

ユーザーガイド

※対象外

チュートリアルのみ

(参考)vSRX Documentation

動作確認済み利用モデル

※対象外

疎通確認のみ実績はManaged Firewall同士のみ

1.ファイアウォール(vSRX)構成ガイド

ファイアウォール/ロードバランサー構成例(ツーアーム)

なし

1.1. ファイアウォール/ロードバランサー構成例(ツーアーム)

ファイアウォール/ロードバランサー構成例(ワンアーム)

なし

1.2. ファイアウォール/ロードバランサー構成例(ワンアーム)

サイト間VPN構成例

2.2.31. IPsecVPN構成例

1.3. サイト間VPN構成例

リモートアクセスVPN構成例

なし

サポート対象外(設定不可)

なし

サポート対象外(機能としては設定可能だがサポート外)

共通機能をファイアウォール経由で利用する際のNAT構成例

2.2.30.9. 共通機能をManaged Firewall経由で利用する際のNAT構成例

1.4. 共通機能をファイアウォール経由で利用する際のNAT構成例

クラウド/サーバー テナント間接続

なし

1.クラウド/サーバー テナント間接続

(参考) Dynamic Routing (OSPF/BGP)

なし

OSPF設定

BGP設定