マネージドファイアウォール構築手順

マネージドファイアウォールは、Enterprise Clund2.0のテナント内で利用することができるファイアウォール機能を提供します。

外部からの攻撃を防ぐため、インターネットゲートウェイと仮想サーバーはファイアウォールを介して接続することが推奨されています。 ファイアウォールは、パケットのフィルタリングを行い、悪意のあるアクセスを防ぐことができます。

ここでは、ファイアウォールの作成及び必要な設定を行います。

本項では図中の赤枠部分を構築していきます。

../../_images/modelA2_FW.png

マネージドファイアウォールの詳細な構成は以下となります。

../../_images/modelA2_FW-detail.png

1. ブラウザーの設定セキュリティコントロールパネルへのアクセス

ダッシュボードのテナントから「セキュリティ」をクリックします。

../../_images/modelA2_tenant_sec.png

セキュリティコントロールパネルのトップページが表示されます。

../../_images/modelA2_sec_control_panel.png

2. ブラウザーの設定

セキュリティメニューのオーダーにあたっては、ご利用のブラウザーにおいて、ポップアップロックの解除が必要となります。


3. マネージドファイアウォールの構築

基本的な設定は、以下のような流れで進めます。

  • マネジメントファイアウォールの申し込み
  • インターフェースの設定
  • ルーティングの設定
  • オブジェクトの設定
  • ファイアウォールポリシーの設定

その他必要に応じて下記の設定も可能となります。詳細は下記チュートリアルをご確認ください。

syslogサーバへのログ送信 「2.1.8. お客様管理syslogサーバーへのログ送信設定」
タイムゾーンの設定 「2.1.9. タイムゾーンの設定」
タイムゾーンの設定 「2.1.10. セキュリティインシデントレポートの通知設定」

3.1. 申し込みについて

「Network-based Security」→「Managed Firewall/Managed UTM」の「Order」をクリックします。

../../_images/modelA2_FW-order1.png

Order画面が表示されますので、「申込種別」で「デバイス追加」を選択します。

../../_images/modelA2_FW-order2.png

入力が必要な項目は以下になります。

../../_images/modelA2_FW-order3.png
デバイス情報説明
項番 項目名 入力形式 入力値 注意事項
1-1 メニュー 選択 Managed Firewall  
1-2 プラン 選択 2CPU-4GB  
1-3 構成 選択 Single
Single構成とHA構成により変化します。
申込種別をHA構成にしていないため、Singleが既に選択されています。
1-4 ゾーン/グループ 選択 zone1-groupb  

「送信」をクリックしてください。

../../_images/modelA2_FW-order4.png

確認ダイアログが表示されますので、申し込む場合は「保存」をクリックしてください。 ※取り止める場合は「閉じる」をクリックしてください。

../../_images/modelA2_FW-order5.png

申し込んだオーダーの処理が完了すると、下記のメッセージが表示されます。その後、ポップアップ画面は自動で閉じ、Order画面がリロードされます。

../../_images/modelA2_FW-order6.png

「オーダー状況のお知らせ」が表示されます。内容を確認後、「オーダー状況確認チェック」にチェックを入れて、「OK」をクリックしてください。

../../_images/modelA2_FW-order7.png

注釈

「オーダー状況確認チェック」には、必ずチェックを入れてください。入れずにダイアログを閉じますと、次にOrder画面に遷移した際にも再び表示されます。

エラーメッセージが表示される場合は、Enterprise Cloud 2.0 チケットシステムでお問い合わせください。


3.2. インターフェース設定

インターフェースの設定を行い、作成したファイアウォールとロジカルネットワークを接続します。 ここでは下図のように、Port4を「INTGW-FW_NW」に、Port5を「FW-SV_NW」に接続します。

../../_images/modelA2_Interface.png

注釈

Port 1は、本メニュー提供のために必要なポートとしてあらかじめ確保されており、非表示です。

Port 2, 3はHA構成のために必要なポートです。あらかじめ設定済の内容が表示され、お客さまによる変更はできません。

Port 4〜10は、お客さまで利用できるインターフェースです。


3.2.1 設定準備

セキュリティコントロールパネルから「Operation」をクリックし、マネージャホームページ中央の「ネットワーク管理」に表示されている「UTM Port Management」をクリックすると、「ネットワーク管理」の詳細画面が開きます。

../../_images/modelA2_FW-junbi1.png

最新のお客さまネットワーク情報を参照可能にするため、[Get Network Info]をクリックします。

../../_images/modelA2_FW-junbi2.png

Get Network Infoが完了すると、[ステータス]に「成功」と表示されます。

../../_images/modelA2_FW-junbi4.png

ステータスが表示された領域または右上の[ステータス]ボタンをクリックすると、履歴が表示されます。

../../_images/modelA2_FW-junbi5.png

[履歴]が表示され[Get Network Info]プロセスの開始時刻、進捗が展示されます。

[履歴]の右端の[ステータス詳細表示]ボタンをクリックすると内容を確認できます。

../../_images/modelA2_FW-junbi6.png

../../_images/modelA2_FW-junbi7.png

3.2.2. インターフェース設定

ここでは、以下のインターフェースを作成します。

  • Internet側インターフェース
  • 仮想サーバー側インターフェース

3.2.2.1. Internet側インターフェース設定

[Manage Interfaces]をクリックします。 どのポート番号でクリックしても同じ画面が開きます。

../../_images/modelA2_FW-int-int1.png

「Manage Interfaces」の画面が開きます。Port 2,3は「Manage Interfaces」の画面には表示されません。 Port4をクリックで選択して、「編集」をクリックします。

../../_images/modelA2_FW-int-int2.png

[Enable Port]をチェックすると設定値を入力できます。

../../_images/modelA2_FW-int-int3.png

入力が必要な項目は以下になります。

../../_images/modelA2_FW-int-int8.png

Manage Interface説明
項番 項目名 入力形式 入力値 注意事項
2-1 IP Address[CIDR] 手動 192.168.1.3/24 プレフィックス表記で入力してください。
2-2 Network Id 選択 IntGW-FW_NW  
2-3 Subnet Id 選択 192.168.1.0/24  

上記を入力して、「保存」をクリックします。これで使用するインターフェースの設定準備が完了しました。

3.2.2.2. 仮想サーバー側インターフェース設定

[Manage Interfaces]をクリックします。 どのポート番号でクリックしても同じ画面が開きます。

../../_images/modelA2_FW-int-SV1.png

「Manage Interfaces」の画面が開きます。Port 2,3は「Manage Interfaces」の画面には表示されません。 Port5をクリックで選択して、「編集」をクリックします。

../../_images/modelA2_FW-int-SV2.png

[Enable Port]をチェックすると設定値を入力できます。

../../_images/modelA2_FW-int-SV3.png

入力が必要な項目は以下になります。

../../_images/modelA2_FW-int-SV8.png

Manage Interface説明
項番 項目名 入力形式 入力値 注意事項
2-1 IP Address[CIDR] 手動 192.168.2.1/24 プレフィックス表記で入力してください。
2-2 Network Id 選択 FW-SV_NW  
2-3 Subnet Id 選択 192.168.2.0/24  

上記を入力して、「保存」をクリックします。これで使用するインターフェースの設定準備が完了しました。


次に設定したインターフェースを適用します。

Manage Interfaces画面で「今実行」をクリックします。

../../_images/modelA2_FW-int-SV9.png

「ステータス」に「実行中」と表示されます。「メッセージ」は適用の進捗状況を示すパーセント値です。

../../_images/modelA2_FW-int-status1.png

「ステータス」や「メッセージ」が表示されている領域をクリックすると、 履歴が表示され「Manage Interfaces」プロセスの開始時刻、進捗が表示されます。

../../_images/modelA2_FW-int-status2.png

「履歴」の右端の「ステータス詳細表示」ボタンをクリックすると内容を確認できます。

../../_images/modelA2_FW-int-status3.png
タスクステータス説明
タスクの色 タスクのステータス
灰色 未実行のタスク
青色 実行中のタスク
緑色 正常終了したタスク
赤色 問題が発生したタスク

すべてのステータスが「緑色」になれば正常終了です。「×」で閉じてください。

../../_images/modelA2_FW-int-status4.png


Manage Interfacesプロセスが正常終了すると、ステータスが緑色になり終了時刻が表示されます。[×]で閉じてください。

../../_images/modelA2_FW-int-status5.png

3.3. ルーティングの設定

デバイスにスタティックルートを設定します。 Managed Firewall管理画面の「デバイス管理」メニューから、編集するManaged Firewallを右クリックし、 「デバイス管理」を押下します。

../../_images/modelA2_FW-route.png

画面左側のオブジェクト画面から Routing をクリックします。 オブジェクト ‣ Networking ‣ Routing


注釈

初期状態ではお客さまネットワーク用のルートは設定されていません。 デフォルト ゲートウェイも設定されていないので、お客さまのネットワーク環境に応じて設定する必要があります。


3.3.1. ルーティング追加

ここでは、以下の宛先に対してルーティングを追加します。

  • Webネットワーク向け

画面右側のRouting画面に表示されている「追加」をクリックします。

../../_images/modelA2_FW-route-web1.png

入力が必要な項目は以下になります。

../../_images/modelA2_FW-route-web3.png
ルーティング設定項目説明
項番 項目名 入力形式 入力値 注意事項
3-1 Destination IP 手動 0.0.0.0  
3-2 Mask 手動 0.0.0.0  
3-3 Gateway 手動 192.168.1.1  
3-4 Interface 選択 Port4  

上記を入力して、「保存」をクリックします。これでルーティングの追加準備が完了しました。


設定が準備できたら、「変更の保存」をクリックして設定の適用を開始します。

../../_images/modelA2_FW-route-web4.png

3.4. オブジェクトの設定

ファイアウォール ポリシーの設定は、IPアドレスを直接入力するのではなく、アドレス オブジェクトとして設定して使用します。

追加するポリシーは以下になります。

  • クライアントPCからインターネット経由でWebサーバーへのhttp、httpsを許可
  • 各コンポーネントからインターネットへ抜けていく全通信を許可
../../_images/modelA2_FW-policy-detail.png

注釈

初期状態で [All] という、全てのアドレスを表す アドレス オブジェクト が利用できます。[All] は変更せずに、ご利用ください。

マネージャホームページ中央の「デバイス管理」に表示されている行を右クリックし、「デバイス管理」を選択してください。

../../_images/modelA2_FW-device1.png

3.4.1. Service Groupの設定

画面左側のオブジェクト画面から Service Object をクリックします。

画面右側の Service Object 画面で[追加]をクリックします。

../../_images/modelA2_FW-serviceobj1.png

入力が必要な項目は以下になります。

../../_images/modelA2_FW-serviceobj2.png
Service Group設定項目説明
項番 項目名 入力形式 入力値 注意事項
4-1 Service Name 手動 SSH2345  
4-2 Protocol Type 選択 TCP  
4-3 Destination Port 手動 2345  

入力が完了したら、「保存」をクリックします。

Service Objectリストの最下部に作成したService Objectが追加されていることを確認します。

../../_images/modelA2_FW-serviceobj3.png

画面左側のオブジェクト画面から Service Group をクリックします。

画面右側の Service Group 画面で[追加]をクリックします。

../../_images/modelA2_FW-serviceg1.png

入力が必要な項目は以下になります。

../../_images/modelA2_FW-serviceg2.png
Service Group設定項目説明
項番 項目名 入力形式 入力値 注意事項
5-1 Group Name 手動 TutorialFilter  

入力が完了したら、「追加」をクリックします。


入力が必要な項目は以下になります。

../../_images/modelA2_FW-serviceg3.png
Service Group設定項目説明
項番 項目名 入力形式 入力値 注意事項
5-2 Members 選択 HTTP  

入力が完了したら、「保存」をクリックします。


オブジェクト画面で[追加]をクリックします。

../../_images/modelA2_FW-serviceg4.png

入力が必要な項目は以下になります。

../../_images/modelA2_FW-serviceg5.png
Service Group設定項目説明
項番 項目名 入力形式 入力値 注意事項
5-3 Members 選択 ALL_ICMP  

入力が完了したら、「保存」をクリックします。


オブジェクト画面で[追加]をクリックします。

../../_images/modelA2_FW-serviceg6.png

入力が必要な項目は以下になります。

../../_images/modelA2_FW-serviceg7.png
Service Group設定項目説明
項番 項目名 入力形式 入力値 注意事項
5-4 Members 選択 SSH2345  

入力が完了したら、「保存」をクリックします。


オブジェクト画面で[保存]をクリックします。

../../_images/modelA2_FW-serviceg8.png

これでDestination NATの追加準備が完了しました。


「変更の保存」をクリックして、設定をデバイスへ適用します。

../../_images/modelA2_FW-object-commit.png

3.4.2. Destination NATの設定

Destination NATのイメージ図は以下になります。

../../_images/modelA2_FW-dnat-detail1.png

画面左側のオブジェクト画面から「Destination NAT」をクリックし、画面右側の Destination NAT 画面で「追加」をクリックします。

../../_images/modelA2_FW-dnat1.png

入力が必要な項目は以下になります。

../../_images/modelA2_FW-dnat2.png
Destination NAT設定項目説明
項番 項目名 入力形式 入力値 注意事項
6-1 NAT Name 手動 DNATtoSV 英数字のみ入力が可能です。
6-2 External IP Address 手動 xxx.xxx.xxx.xxx 払い出されたグローバルIPアドレス(可変)を入力してください。
6-3 Mapped IP Address 手動 192.168.2.3 仮想サーバーのVirtual IPを入力してください。
6-4 Exteernal Interface 選択 Port4 Internet側のポート番号を選択してください。

上記を入力して、「保存」をクリックします。これでDestination NATの追加準備が完了しました。


「変更の保存」をクリックして、設定をデバイスへ適用します。

../../_images/modelA2_FW-object-commit.png

3.4.3. Source NATの設定

Source NATのイメージ図は以下になります。

../../_images/modelA2_FW-snat-detail1.png

画面左側のオブジェクト画面から「Source NAT」をクリックし、画面右側の Source NAT 画面で「追加」をクリックします。

../../_images/modelA2_FW-snat1.png

入力が必要な項目は以下になります。

../../_images/modelA2_FW-snat2.png
Source NAT設定項目説明
項番 項目名 入力形式 入力値 注意事項
7-1 NAT Name 手動 TutorialSNAT 英数字のみ入力が可能です。
7-2 Start IP Addresss 手動 xxx.xxx.xxx.xxx 払い出されたグローバルIPアドレス(可変)を入力してください。
7-3 End IP Addresss 手動 xxx.xxx.xxx.xxx 払い出されたグローバルIPアドレス(可変)を入力してください。

上記を入力して、「保存」をクリックします。これでSource NATの追加準備が完了しました。


「変更の保存」をクリックして、設定をデバイスへ適用します。

../../_images/modelA2_FW-object-commit.png

3.5. ファイアウォールポリシーの設定

追加するポリシーは以下になります。

  • クライアントPCからインターネット経由でWebサーバーへのhttp、httpsを許可
  • 各コンポーネントからインターネットへ抜けていく全通信を許可

3.5.1. ポリシーの設定:クライアントPCからインターネット経由でWebサーバーへのhttp、httpsを許可

画面左側のオブジェクト画面から Firewall Policy をクリックします。

「オブジェクト」→「Firewall Policy」→「Firewall Policy」


画面右側の Firewall Policy 画面で[追加]をクリックします。

../../_images/modelA2_FW-policy-int-web1.png

入力が必要な項目は以下になります。

../../_images/modelA2_FW-policy-int-web2.png
ファイアウォールポリシー設定項目説明
項番 項目名 入力形式 入力値 注意事項
8-1 Enable 選択 チェック有り  
8-2 Incoming Interface 選択 Port4  
8-3 Source Address 選択 all  
8-4 Outgoing Interface 選択 Port5  
8-5 Destination Address Type 選択 NAT Object  
8-6 Destination NAT 選択 DNATtoSV  
8-7 Service 選択 TutorialFilter  
8-8 Action 選択 ACCEPT  
8-9 NAT 選択 チェック無し  
8-10 Log 選択 ALL  

「変更の保存」をクリックして、設定をデバイスへ適用します。

../../_images/modelA2_FW-policy-commit.png

3.5.2. ポリシーの設定:仮想サーバーからインターネットへ抜けていく全通信を許可

画面左側のオブジェクト画面から Firewall Policy をクリックします。

「オブジェクト」→「Firewall Policy」→「Firewall Policy」


画面右側の Firewall Policy 画面で[追加]をクリックします。

../../_images/modelA2_FW-policy-web-int1.png

入力が必要な項目は以下になります。

../../_images/modelA2_FW-policy-web-int2.png
ファイアウォールポリシー設定項目説明
項番 項目名 入力形式 入力値 注意事項
9-1 Enable 選択 チェック有り  
9-2 Incoming Interface 選択 Port5  
9-3 Source Address 選択 all  
9-4 Outgoing Interface 選択 Port4  
9-5 Destination Address Type 選択 Address Object  
9-6 Destination Address 選択 all  
9-7 Service 選択 all  
9-8 Action 選択 ACCEPT  
9-9 NAT 選択 チェック有り  
9-10 NAT mode 選択 Use NAPT Object  
9-11 NAPT Object 選択 TutorialSNAT  
9-12 Log 選択 ALL  

「変更の保存」をクリックして、設定をデバイスへ適用します。

../../_images/modelA2_FW-policy-commit.png