ポリシーフィルターをWeb設定画面から設定する手順

構成図 ポリシーフィルターをWeb設定画面から設定する手順

本設定例では、上記構成におけるポリシーフィルターの解説と設定方法を紹介します。
ポリシーフィルターの詳細については、技術情報をご覧ください。
技術情報:入力遮断フィルター・ポリシーフィルター

ポリシーフィルターで実現したい動作

  • 192.168.100.2~192.168.100.4 までの端末が 192.168.101.254 のFTPサーバーにアクセスできる
  • 192.168.100.0/24 のセグメントに属するすべての端末が 192.168.101.254 のWebサーバーにアクセスできる
  • 192.168.100.0/24 のセグメントに属する端末は、FWX120のWeb設定画面にアクセスできる
  • それ以外のパケットは破棄する

ポリシーを登録する

ポリシーフィルターの一般的な設定手順として、受信するパケットをすべて破棄し、通過させたい条件のパケットを例外的に通過させるという方法があります。本設定例でも、まず、LAN1で受信したパケットをすべて破棄するポリシーを設定し、例外として、条件に合うパケットを通過させるポリシーを設定しています。

ポリシーとは、受信/送信インタフェース、始点/終点アドレス、サービスなどを組み合わせた条件とそれら条件に合うパケットの通過/破棄などの動作を設定するルールのことです。

以下の表は「ポリシーフィルターで実現したい動作」に記載した条件をポリシーに置き換えたものです。例外的なポリシーを" 階層 "によって階層化することで表しています。1 のポリシーの例外として、2、3、4 のポリシーを登録しています。

ポリシー
番号
受信インタ
フェース
送信インタ
フェース
始点アドレス 終点アドレス サービス 動作
1 LAN1 任意 任意 任意 任意 破棄
階層2 任意 LOCAL 任意 任意 任意 通過
階層3 任意 任意 192.168.100.2-192.168.100.4 192.168.101.254 FTP 通過
階層4 任意 任意 192.168.100.0/24 192.168.101.254 WWW 通過
5 LOCAL 任意 任意 任意 任意 通過
階層6 任意 LAN1 任意 任意 任意 通過(スタティック)

※LOCALはFWX120自身を指します。LOCALを指定したポリシーが適用されるケースとして、本設定例では、FWX120のWeb設定画面へのアクセスが該当します。

※いずれのポリシーにも該当しないパケットは、破棄されます。

ポリシー
番号
ポリシーの説明
1 LAN1に受信するパケットをすべて破棄するポリシー
3 192.168.100.2~192.168.100.4 までの端末が 192.168.101.254 のFTPサーバーにアクセスするパケットを通過させるポリシー
4 192.168.100.0/24 のセグメントに属するすべての端末が192.168.101.254 のWebサーバーにアクセスするパケットを通過させるポリシー
1、2、
5、6
ポリシーフィルターの稼働後も192.168.100.0/24 のセグメントに属する端末がFWX120のWEB設定画面にアクセスするために必須となるポリシーです。これらを設定せずにポリシーフィルターを稼働させると、FWX120のWeb設定画面にアクセスできなくなります。FWX120のCONSOLEポートにシリアルケーブルで接続した端末からの操作でしか設定できなくなりますのでご注意ください。

FWX120の設定例

FWX120には、事前に以下のコンフィグが設定されていることとします。

コンフィグ
ip lan1 address 192.168.100.1/24
ip lan2 address 192.168.101.1/24
dhcp service server
dhcp scope 1 192.168.100.2-192.168.100.191/24

ポリシーセットを登録する

1.「詳細設定と情報」をクリックします。

図 FWX120 トップページ

2.「その他の設定」欄の「ポリシーフィルターの設定」の行にある「設定」をクリックします。

図 詳細設定と情報

3.「IPv4 ポリシーフィルターの設定・状態表示」の行にある「実行」をクリックします。

図 ポリシーフィルターの選択

4.「ポリシーセットの一覧」欄の「追加」をクリックします。

図 IPv4 ポリシーフィルターの設定・状態表示

5. ポリシーセットの名称を設定します。任意の名称を入力して「設定の確定」をクリックします。

図 IPv4 ポリシーフィルターの設定・状態表示

6. ポリシーセットの設定が登録されました。「戻る」をクリックします。

図 IPv4 ポリシーフィルターの設定・状態表示

ポリシーフィルターの設定

1. ポリシー番号1 を設定します。

ポリシー
番号
受信インタ
フェース
送信インタ
フェース
始点アドレス 終点アドレス サービス 動作
1 LAN1 任意 任意 任意 任意 破棄
階層2 任意 LOCAL 任意 任意 任意 通過
階層3 任意 任意 192.168.100.2-192.168.100.4 192.168.101.254 FTP 通過
階層4 任意 任意 192.168.100.0/24 192.168.101.254 WWW 通過
5 LOCAL 任意 任意 任意 任意 通過
階層6 任意 LAN1 任意 任意 任意 通過(スタティック)

2.「ポリシーセットの詳細」欄のセレクトボックスから登録したポリシーセットを選択します。

図 IPv4 ポリシーフィルターの設定・状態表示

3.「ポリシーセットの詳細」欄の「追加」をクリックします。

図 ポリシーセットの詳細

4. 受信インターフェースに「LAN1」、動作に「破棄」を選択し、「設定の確定」をクリックします。

図 IPv4 ポリシーフィルターの設定

5. ポリシー番号1 が登録されました。「戻る」をクリックします。

図 IPv4 ポリシーフィルターの設定

6. ポリシー番号2 を設定します。ポリシー番号2 は、ポリシー番号1 の例外的なポリシーとして追加します。

ポリシー
番号
受信インタ
フェース
送信インタ
フェース
始点アドレス 終点アドレス サービス 動作
1 LAN1 任意 任意 任意 任意 破棄
階層2 任意 LOCAL 任意 任意 任意 通過
階層3 任意 任意 192.168.100.2-192.168.100.4 192.168.101.254 FTP 通過
階層4 任意 任意 192.168.100.0/24 192.168.101.254 WWW 通過
5 LOCAL 任意 任意 任意 任意 通過
階層6 任意 LAN1 任意 任意 任意 通過(スタティック)

7. 同様に「ポリシーセットの詳細」欄のセレクトボックスから登録したポリシーセットを選択します。

図 ポリシーセットの詳細

8. ポリシー番号1 の鉛筆マークをクリックして「配下に追加」をクリックします。

図 IPv4 ポリシーフィルターの設定・状態表示 図 IPv4 ポリシーフィルターの設定・状態表示

9. 送信インターフェースに「LOCAL」を選択し、「設定の確定」をクリックします。

図 IPv4 ポリシーフィルターの設定

10. ポリシー番号2 が登録されました。「戻る」をクリックします。

図 IPv4 ポリシーフィルターの設定

11. ポリシー番号3 を設定します。ポリシー番号3 は、ポリシー番号1 の例外的なポリシーとして追加します。

ポリシー
番号
受信インタ
フェース
送信インタ
フェース
始点アドレス 終点アドレス サービス 動作
1 LAN1 任意 任意 任意 任意 破棄
階層2 任意 LOCAL 任意 任意 任意 通過
階層3 任意 任意 192.168.100.2-192.168.100.4 192.168.101.254 FTP 通過
階層4 任意 任意 192.168.100.0/24 192.168.101.254 WWW 通過
5 LOCAL 任意 任意 任意 任意 通過
階層6 任意 LAN1 任意 任意 任意 通過(スタティック)

12. 同様に「ポリシーセットの詳細」欄のセレクトボックスから登録したポリシーセットを選択します。

図 ポリシーセットの詳細

13. ポリシー番号2 の鉛筆マークをクリックして「並列に追加」をクリックします。

図 ポリシーセットの詳細 図 IPv4 ポリシーフィルターの設定・状態表示

14. 始点アドレスは、「アドレス->」を選択し、入力欄に「192.168.100.2-192.168.100.4」を入力、終点アドレスは、「アドレス->」を選択し、入力欄に「192.168.101.254」を入力、サービスに「FTP」を選択して「設定の確定」をクリックします。

図 IPv4 ポリシーフィルターの設定

15. ポリシー番号3 が登録されました。「戻る」をクリックします。

図 IPv4 ポリシーフィルターの設定

16. ポリシー番号4 を設定します。ポリシー番号4 は、ポリシー番号1 の例外的なポリシーとして追加します。

ポリシー
番号
受信インタ
フェース
送信インタ
フェース
始点アドレス 終点アドレス サービス 動作
1 LAN1 任意 任意 任意 任意 破棄
階層2 任意 LOCAL 任意 任意 任意 通過
階層3 任意 任意 192.168.100.2-192.168.100.4 192.168.101.254 FTP 通過
階層4 任意 任意 192.168.100.0/24 192.168.101.254 WWW 通過
5 LOCAL 任意 任意 任意 任意 通過
階層6 任意 LAN1 任意 任意 任意 通過(スタティック)

17. 同様に「ポリシーセットの詳細」欄のセレクトボックスから登録したポリシーセットを選択します。

図 ポリシーセットの詳細

18. ポリシー番号3 の鉛筆マークをクリックして「並列に追加」をクリックします。

図 ポリシーセットの詳細 図 IPv4 ポリシーフィルターの設定・状態表示

19. 始点アドレスは、「アドレス->」を選択し、入力欄に「192.168.100.0/24」を入力、終点アドレスは、「アドレス->」を選択し、入力欄に「192.168.101.254」を入力、サービスに「WWW」を選択して「設定の確定」をクリックします。

図 IPv4 ポリシーフィルターの設定

20. ポリシー番号4 が登録されました。「戻る」をクリックします。

図 IPv4 ポリシーフィルターの設定

21. ポリシー番号5 を設定します。ポリシー番号5 は、ポリシー番号1 と並列に追加します。

ポリシー
番号
受信インタ
フェース
送信インタ
フェース
始点アドレス 終点アドレス サービス 動作
1 LAN1 任意 任意 任意 任意 破棄
階層2 任意 LOCAL 任意 任意 任意 通過
階層3 任意 任意 192.168.100.2-192.168.100.4 192.168.101.254 FTP 通過
階層4 任意 任意 192.168.100.0/24 192.168.101.254 WWW 通過
5 LOCAL 任意 任意 任意 任意 通過
階層6 任意 LAN1 任意 任意 任意 通過(スタティック)

22. 同様に「ポリシーセットの詳細」欄のセレクトボックスから登録したポリシーセットを選択します。

図 ポリシーセットの詳細

23. ポリシー番号1 の鉛筆マークをクリックして「並列に追加」をクリックします。

図 ポリシーセットの詳細 図 IPv4 ポリシーフィルターの設定・状態表示

24. 受信インターフェースに「LOCAL」を選択し、「設定の確定」をクリックします。

図 IPv4 ポリシーフィルターの設定

25. ポリシー番号5 が登録されました。「戻る」をクリックします。

図 IPv4 ポリシーフィルターの設定

26. ポリシー番号6 を設定します。ポリシー番号6 は、ポリシー番号5 の例外的なポリシーとして追加します。

ポリシー
番号
受信インタ
フェース
送信インタ
フェース
始点アドレス 終点アドレス サービス 動作
1 LAN1 任意 任意 任意 任意 破棄
階層2 任意 LOCAL 任意 任意 任意 通過
階層3 任意 任意 192.168.100.2-192.168.100.4 192.168.101.254 FTP 通過
階層4 任意 任意 192.168.100.0/24 192.168.101.254 WWW 通過
5 LOCAL 任意 任意 任意 任意 通過
階層6 任意 LAN1 任意 任意 任意 通過(スタティック)

27. 同様に「ポリシーセットの詳細」欄のセレクトボックスから登録したポリシーセットを選択します。

図 ポリシーセットの詳細

28. ポリシー番号5 の鉛筆マークをクリックして「配下に追加」をクリックします。

図 ポリシーセットの詳細 図 IPv4 ポリシーフィルターの設定・状態表示

29. ポリシー番号6 を設定します。送信インターフェースに「LAN1」を選択、動作には「通過(スタティック)」を選択して「設定の確定」をクリックします。

図 IPv4 ポリシーフィルターの設定

30. ポリシー番号6 が登録されました。「戻る」をクリックします。

図 IPv4 ポリシーフィルターの設定

31. 以上ですべてのポリシーを登録しましたので、ポリシーフィルターを稼働させます。「ポリシーセットの一覧」欄の登録したポリシーセットのラジオボタンをクリックします。

図 ポリシーセットの一覧

32. 登録したポリシーセットを稼働させました。「戻る」をクリックします。

図 IPv4 ポリシーセットの切り替え

ポリシーフィルターの確認

1. コンフィグでは、以下のように設定されています。

コンフィグ
ip policy filter 1 reject-nolog lan1 * * * *
ip policy filter 2 pass-nolog * local * * *
ip policy filter 3 pass-nolog * * 192.168.100.2-192.168.100.4 192.168.101.254 ftp
ip policy filter 4 pass-nolog * * 192.168.100.0/24 192.168.101.254 www
ip policy filter 5 pass-nolog local * * * *
ip policy filter 6 static-pass-nolog * lan1 * * *
ip policy filter set 1 name=policy_set 1 [2 3 4] 5 [6]
ip policy filter set enable 1

2.「ポリシーセットの詳細」欄に稼働したポリシーフィルターが表示されます。コンフィグと同じポリシーフィルターが設定されていることを確認できます。図 ポリシーフィルターの階層は、階層があることを表します。階層は最大で4階層まで設定できます。 階層化したポリシーは、コマンドでは "[ ]" で記述されます。各コマンドの詳細については、技術資料をご覧ください。

図 ポリシーセットの詳細

3.各動作は以下の通りです。

動作 アイコン 説明
通過 図 通過 
図 通過 アニメーション
パケットを通します。TCPとUDPとpingについては、Stateful Inspection方式で通し、それ以外のパケットについては、そのまま通します。ポリシーの条件に合致したパケットを受信したときに、 動作を示すアイコンがアニメーションするようになっています。
通過
(スタティック)
図 通過(スタティック) 
図 通過(スタティック) アニメーション
Stateful Inspection方式を使わずにパケットを通します。ポリシーの条件に合致したパケットを受信したときに、 動作を示すアイコンがアニメーションするようになっています。
破棄 図 破棄 パケットを破棄します。
接続時のみ通過 図 接続時のみ通過 パケットを送信しようとするインターフェースがupしており、
パケットを送信できる状態になっているならば通し、
そうでなければパケットを破棄します。
パケットを通すときには、TCPとUDPとpingについては、
Stateful Inspection方式で通し、
それ以外のパケットについては、そのまま通します。