管理番号:YMHRT-4518
本設定例では、上記構成におけるポリシーフィルターの解説と設定方法を紹介します。
ポリシーフィルターの詳細については、技術情報をご覧ください。
技術情報:入力遮断フィルター・ポリシーフィルター
ポリシーフィルターの一般的な設定手順として、受信するパケットをすべて破棄し、通過させたい条件のパケットを例外的に通過させるという方法があります。本設定例でも、まず、LAN1で受信したパケットをすべて破棄するポリシーを設定し、例外として、条件に合うパケットを通過させるポリシーを設定しています。
ポリシーとは、受信/送信インタフェース、始点/終点アドレス、サービスなどを組み合わせた条件とそれら条件に合うパケットの通過/破棄などの動作を設定するルールのことです。
以下の表は「ポリシーフィルターで実現したい動作」に記載した条件をポリシーに置き換えたものです。例外的なポリシーを" "によって階層化することで表しています。1 のポリシーの例外として、2、3、4 のポリシーを登録しています。
ポリシー 番号 |
受信インタ フェース |
送信インタ フェース |
始点アドレス | 終点アドレス | サービス | 動作 |
---|---|---|---|---|---|---|
1 | LAN1 | 任意 | 任意 | 任意 | 任意 | 破棄 |
2 | 任意 | LOCAL | 任意 | 任意 | 任意 | 通過 |
3 | 任意 | 任意 | 192.168.100.2-192.168.100.4 | 192.168.101.254 | FTP | 通過 |
4 | 任意 | 任意 | 192.168.100.0/24 | 192.168.101.254 | WWW | 通過 |
5 | LOCAL | 任意 | 任意 | 任意 | 任意 | 通過 |
6 | 任意 | LAN1 | 任意 | 任意 | 任意 | 通過(スタティック) |
※LOCALはFWX120自身を指します。LOCALを指定したポリシーが適用されるケースとして、本設定例では、FWX120のWeb設定画面へのアクセスが該当します。
※いずれのポリシーにも該当しないパケットは、破棄されます。
ポリシー 番号 |
ポリシーの説明 |
---|---|
1 | LAN1に受信するパケットをすべて破棄するポリシー |
3 | 192.168.100.2~192.168.100.4 までの端末が 192.168.101.254 のFTPサーバーにアクセスするパケットを通過させるポリシー |
4 | 192.168.100.0/24 のセグメントに属するすべての端末が192.168.101.254 のWebサーバーにアクセスするパケットを通過させるポリシー |
1、2、 5、6 |
ポリシーフィルターの稼働後も192.168.100.0/24 のセグメントに属する端末がFWX120のWEB設定画面にアクセスするために必須となるポリシーです。これらを設定せずにポリシーフィルターを稼働させると、FWX120のWeb設定画面にアクセスできなくなります。FWX120のCONSOLEポートにシリアルケーブルで接続した端末からの操作でしか設定できなくなりますのでご注意ください。 |
FWX120には、事前に以下のコンフィグが設定されていることとします。
コンフィグ |
---|
ip lan1 address 192.168.100.1/24 |
ip lan2 address 192.168.101.1/24 |
dhcp service server |
dhcp scope 1 192.168.100.2-192.168.100.191/24 |
1.「詳細設定と情報」をクリックします。
2.「その他の設定」欄の「ポリシーフィルターの設定」の行にある「設定」をクリックします。
3.「IPv4 ポリシーフィルターの設定・状態表示」の行にある「実行」をクリックします。
4.「ポリシーセットの一覧」欄の「追加」をクリックします。
5. ポリシーセットの名称を設定します。任意の名称を入力して「設定の確定」をクリックします。
6. ポリシーセットの設定が登録されました。「戻る」をクリックします。
1. ポリシー番号1 を設定します。
ポリシー 番号 |
受信インタ フェース |
送信インタ フェース |
始点アドレス | 終点アドレス | サービス | 動作 |
---|---|---|---|---|---|---|
1 | LAN1 | 任意 | 任意 | 任意 | 任意 | 破棄 |
2 | 任意 | LOCAL | 任意 | 任意 | 任意 | 通過 |
3 | 任意 | 任意 | 192.168.100.2-192.168.100.4 | 192.168.101.254 | FTP | 通過 |
4 | 任意 | 任意 | 192.168.100.0/24 | 192.168.101.254 | WWW | 通過 |
5 | LOCAL | 任意 | 任意 | 任意 | 任意 | 通過 |
6 | 任意 | LAN1 | 任意 | 任意 | 任意 | 通過(スタティック) |
2.「ポリシーセットの詳細」欄のセレクトボックスから登録したポリシーセットを選択します。
3.「ポリシーセットの詳細」欄の「追加」をクリックします。
4. 受信インターフェースに「LAN1」、動作に「破棄」を選択し、「設定の確定」をクリックします。
5. ポリシー番号1 が登録されました。「戻る」をクリックします。
6. ポリシー番号2 を設定します。ポリシー番号2 は、ポリシー番号1 の例外的なポリシーとして追加します。
ポリシー 番号 |
受信インタ フェース |
送信インタ フェース |
始点アドレス | 終点アドレス | サービス | 動作 |
---|---|---|---|---|---|---|
1 | LAN1 | 任意 | 任意 | 任意 | 任意 | 破棄 |
2 | 任意 | LOCAL | 任意 | 任意 | 任意 | 通過 |
3 | 任意 | 任意 | 192.168.100.2-192.168.100.4 | 192.168.101.254 | FTP | 通過 |
4 | 任意 | 任意 | 192.168.100.0/24 | 192.168.101.254 | WWW | 通過 |
5 | LOCAL | 任意 | 任意 | 任意 | 任意 | 通過 |
6 | 任意 | LAN1 | 任意 | 任意 | 任意 | 通過(スタティック) |
7. 同様に「ポリシーセットの詳細」欄のセレクトボックスから登録したポリシーセットを選択します。
8. ポリシー番号1 の鉛筆マークをクリックして「配下に追加」をクリックします。
9. 送信インターフェースに「LOCAL」を選択し、「設定の確定」をクリックします。
10. ポリシー番号2 が登録されました。「戻る」をクリックします。
11. ポリシー番号3 を設定します。ポリシー番号3 は、ポリシー番号1 の例外的なポリシーとして追加します。
ポリシー 番号 |
受信インタ フェース |
送信インタ フェース |
始点アドレス | 終点アドレス | サービス | 動作 |
---|---|---|---|---|---|---|
1 | LAN1 | 任意 | 任意 | 任意 | 任意 | 破棄 |
2 | 任意 | LOCAL | 任意 | 任意 | 任意 | 通過 |
3 | 任意 | 任意 | 192.168.100.2-192.168.100.4 | 192.168.101.254 | FTP | 通過 |
4 | 任意 | 任意 | 192.168.100.0/24 | 192.168.101.254 | WWW | 通過 |
5 | LOCAL | 任意 | 任意 | 任意 | 任意 | 通過 |
6 | 任意 | LAN1 | 任意 | 任意 | 任意 | 通過(スタティック) |
12. 同様に「ポリシーセットの詳細」欄のセレクトボックスから登録したポリシーセットを選択します。
13. ポリシー番号2 の鉛筆マークをクリックして「並列に追加」をクリックします。
14. 始点アドレスは、「アドレス->」を選択し、入力欄に「192.168.100.2-192.168.100.4」を入力、終点アドレスは、「アドレス->」を選択し、入力欄に「192.168.101.254」を入力、サービスに「FTP」を選択して「設定の確定」をクリックします。
15. ポリシー番号3 が登録されました。「戻る」をクリックします。
16. ポリシー番号4 を設定します。ポリシー番号4 は、ポリシー番号1 の例外的なポリシーとして追加します。
ポリシー 番号 |
受信インタ フェース |
送信インタ フェース |
始点アドレス | 終点アドレス | サービス | 動作 |
---|---|---|---|---|---|---|
1 | LAN1 | 任意 | 任意 | 任意 | 任意 | 破棄 |
2 | 任意 | LOCAL | 任意 | 任意 | 任意 | 通過 |
3 | 任意 | 任意 | 192.168.100.2-192.168.100.4 | 192.168.101.254 | FTP | 通過 |
4 | 任意 | 任意 | 192.168.100.0/24 | 192.168.101.254 | WWW | 通過 |
5 | LOCAL | 任意 | 任意 | 任意 | 任意 | 通過 |
6 | 任意 | LAN1 | 任意 | 任意 | 任意 | 通過(スタティック) |
17. 同様に「ポリシーセットの詳細」欄のセレクトボックスから登録したポリシーセットを選択します。
18. ポリシー番号3 の鉛筆マークをクリックして「並列に追加」をクリックします。
19. 始点アドレスは、「アドレス->」を選択し、入力欄に「192.168.100.0/24」を入力、終点アドレスは、「アドレス->」を選択し、入力欄に「192.168.101.254」を入力、サービスに「WWW」を選択して「設定の確定」をクリックします。
20. ポリシー番号4 が登録されました。「戻る」をクリックします。
21. ポリシー番号5 を設定します。ポリシー番号5 は、ポリシー番号1 と並列に追加します。
ポリシー 番号 |
受信インタ フェース |
送信インタ フェース |
始点アドレス | 終点アドレス | サービス | 動作 |
---|---|---|---|---|---|---|
1 | LAN1 | 任意 | 任意 | 任意 | 任意 | 破棄 |
2 | 任意 | LOCAL | 任意 | 任意 | 任意 | 通過 |
3 | 任意 | 任意 | 192.168.100.2-192.168.100.4 | 192.168.101.254 | FTP | 通過 |
4 | 任意 | 任意 | 192.168.100.0/24 | 192.168.101.254 | WWW | 通過 |
5 | LOCAL | 任意 | 任意 | 任意 | 任意 | 通過 |
6 | 任意 | LAN1 | 任意 | 任意 | 任意 | 通過(スタティック) |
22. 同様に「ポリシーセットの詳細」欄のセレクトボックスから登録したポリシーセットを選択します。
23. ポリシー番号1 の鉛筆マークをクリックして「並列に追加」をクリックします。
24. 受信インターフェースに「LOCAL」を選択し、「設定の確定」をクリックします。
25. ポリシー番号5 が登録されました。「戻る」をクリックします。
26. ポリシー番号6 を設定します。ポリシー番号6 は、ポリシー番号5 の例外的なポリシーとして追加します。
ポリシー 番号 |
受信インタ フェース |
送信インタ フェース |
始点アドレス | 終点アドレス | サービス | 動作 |
---|---|---|---|---|---|---|
1 | LAN1 | 任意 | 任意 | 任意 | 任意 | 破棄 |
2 | 任意 | LOCAL | 任意 | 任意 | 任意 | 通過 |
3 | 任意 | 任意 | 192.168.100.2-192.168.100.4 | 192.168.101.254 | FTP | 通過 |
4 | 任意 | 任意 | 192.168.100.0/24 | 192.168.101.254 | WWW | 通過 |
5 | LOCAL | 任意 | 任意 | 任意 | 任意 | 通過 |
6 | 任意 | LAN1 | 任意 | 任意 | 任意 | 通過(スタティック) |
27. 同様に「ポリシーセットの詳細」欄のセレクトボックスから登録したポリシーセットを選択します。
28. ポリシー番号5 の鉛筆マークをクリックして「配下に追加」をクリックします。
29. ポリシー番号6 を設定します。送信インターフェースに「LAN1」を選択、動作には「通過(スタティック)」を選択して「設定の確定」をクリックします。
30. ポリシー番号6 が登録されました。「戻る」をクリックします。
31. 以上ですべてのポリシーを登録しましたので、ポリシーフィルターを稼働させます。「ポリシーセットの一覧」欄の登録したポリシーセットのラジオボタンをクリックします。
32. 登録したポリシーセットを稼働させました。「戻る」をクリックします。
1. コンフィグでは、以下のように設定されています。
コンフィグ |
---|
ip policy filter 1 reject-nolog lan1 * * * * |
ip policy filter 2 pass-nolog * local * * * |
ip policy filter 3 pass-nolog * * 192.168.100.2-192.168.100.4 192.168.101.254 ftp |
ip policy filter 4 pass-nolog * * 192.168.100.0/24 192.168.101.254 www |
ip policy filter 5 pass-nolog local * * * * |
ip policy filter 6 static-pass-nolog * lan1 * * * |
ip policy filter set 1 name=policy_set 1 [2 3 4] 5 [6] |
ip policy filter set enable 1 |
2.「ポリシーセットの詳細」欄に稼働したポリシーフィルターが表示されます。コンフィグと同じポリシーフィルターが設定されていることを確認できます。は、階層があることを表します。階層は最大で4階層まで設定できます。 階層化したポリシーは、コマンドでは "[ ]" で記述されます。各コマンドの詳細については、技術資料をご覧ください。
3.各動作は以下の通りです。
動作 | アイコン | 説明 |
---|---|---|
通過 |
|
パケットを通します。TCPとUDPとpingについては、Stateful Inspection方式で通し、それ以外のパケットについては、そのまま通します。ポリシーの条件に合致したパケットを受信したときに、 動作を示すアイコンがアニメーションするようになっています。 |
通過 (スタティック) |
|
Stateful Inspection方式を使わずにパケットを通します。ポリシーの条件に合致したパケットを受信したときに、 動作を示すアイコンがアニメーションするようになっています。 |
破棄 | パケットを破棄します。 | |
接続時のみ通過 |
パケットを送信しようとするインターフェースがupしており、 パケットを送信できる状態になっているならば通し、 そうでなければパケットを破棄します。 パケットを通すときには、TCPとUDPとpingについては、 Stateful Inspection方式で通し、 それ以外のパケットについては、そのまま通します。 |
ご相談・お問い合わせ