複数のインタフェースを1つのゾーンに設定

動作確認バージョン:Brocade 5600vRouter Version4.2R1S1
ここでは、Zone-Base Firewallを設定する上で必要な機能を紹介します。

Zone-Base Firewallとは

ファイアウォールでは、論理的に「ゾーン」と呼ばれる領域を論理的に作成することが可能です。
1つのゾーンから他のゾーンへ通信を転送するときに必要なポリシーを設定してあげることで
各インタフェースごとの詳細な設計・設定をしなくてもゾーンに属するネットワークや端末等の
グループに対して同一のポリシーを適用させることが可能になります。

注釈

ゾーンを作成した後に、明示的に許可しない限り初期状態では他のゾーンからの通信は遮断された設定になっています。 以下の動作確認済み設定例では、明示的に許可・拒否の設定を実施して紹介します。

Zoneの作成と複数インタフェースの紐付け

Zone-Base Firewall機能を利用するために、ゾーンを2つ作成します。
ファイアウォールのインタフェースを各ゾーンに所属させるための設定をします。
1つのゾーンに属するインタフェースを複数設定します。
構成図
Zone Fig2

設定のながれ

  • 1.ゾーン z1 を作成
  • 2.作成した z1 にインタフェース dp0s4 を紐付け
  • 3.作成した z2 にインタフェース dp0s5 を紐付け
  • 4.ゾーン z2 を作成
  • 5.作成した z2 にインタフェース dp0s6 を紐付け
  • 6.作成した z2 にインタフェース dp0s7 を紐付け

注釈

インタフェースは、1つのゾーンにだけ割り当てることが可能です。

注釈

Zone-Base Firewall機能を利用するためにゾーンに紐付けしたインタフェースは、 Firewallポリシーを直接設定できなくなります。

CLIにて入力するコマンド

set security firewall name all_accept default-action 'accept'
set security zone-policy zone z1 interface 'dp0s4'
set security zone-policy zone z1 interface 'dp0s5'
set security zone-policy zone z1 to z2 firewall 'all_accept'
set security zone-policy zone z2 interface 'dp0s6'
set security zone-policy zone z2 interface 'dp0s7'
set security zone-policy zone z2 to z1 firewall 'all_accept'

注釈

設定したコンフィグを運用中に適用(commit)するためには、ゾーン間のポリシーを設定することが必要です。 ここでは、すべての通信を転送するための all_accept 設定を説明上入れています。 ゾーン間のポリシーを適用しないと適用(commit)させることができません。

正しく設定が完了したときのコンフィグレーションは次のとおりです。
security {
       firewall {
               name all_accept {
                       default-action accept
                       }
               }
       }
       zone-policy {
               zone z1 {
                       interface dp0s4
                       interface dp0s5
                       to z2 {
                               firewall all_accept
                       }
               }
               zone z2 {
                       interface dp0s6
                       interface dp0s7
                       to z1 {
                               firewall all_accept
                       }
               }

       }
}