| ファイアウォール機能 環境設定ガイド |
|
目次
索引
|
| 第3部 ファイアウォール機能独自環境設定(Solaris版/Windows版) | > 第9章 環境設定(Windows版) |
ここでは、ファイアウォール機能の独自環境設定の概要および作業手順について説明します。
ファイアウォール機能の独自環境設定は、以下の2種類に分けられます。
ホストおよびネットワークの追加や運用する上で必ず設定しなければいけない各機能の動作環境などを設定するための環境設定ツールです。ここで設定した内容は、環境定義ファイルに保存されます。
ファイアウォール機能の運用中に、各機能の動作条件の追加および変更などを行う環境設定ツールです。ただし、ホストおよびネットワークの追加は行えません。
すでに設定済のネットワークアダプタへの IP アドレスの変更、ホスト、ネットワークに対するアドレス情報の変更などは、インストール後のネットワークの変更を参照してください。
以下の手順で環境設定を行います。
基本セットアップ
以下の環境および条件を設定します。設定順序は特にありません。
ネットワーク構成図の作成と各構成要素の設定
サービスの設定
サービスグループの設定
透過ゲートウェイの動作環境設定
自暗号ゲートウェイの動作環境設定
認証ゲートウェイの動作環境設定
運用支援(管理)機能の設定
条件セットアップ
運用形態に合わせて、必要な以下の条件を設定します。設定順序は特にありません。
パケットフィルタリング条件の設定
暗号通信条件の設定
ユーザ認証条件の設定
システムの再起動
基本セットアップおよび条件セットアップが終了したら、システムを再起動します。
注システムを再起動する場合
システムを再起動する前に、外部ネットワークとの接続を物理的に切断(外部ネットワークとの接点にあるルータの電源を切断、または LAN ケーブルを抜くなどの処理を)する必要があります。
備考すでに運用中の環境を変更した場合は、現在起動中の各サービスを停止します。システムを再起動する必要はありませんが、いったん LAN ケーブルを抜く必要があります。
各サービスの起動
ファイアウォール機能の各サービスを起動します。通常は、システムが起動されると自動的に起動されるように設定されているため、利用者が各サービスを起動する操作は必要ありません。
備考すでに運用中の環境を変更してサービスをいったん停止した場合は、利用者が再度各サービスを起動する作業が必要です。各サービスの起動操作は、各サービスの起動と停止を参照してください。
外部ネットワークとの接続が物理的に切断されている場合は、各サービスを起動した後で、再度接続してください。
以下に、運用形態別に必要な設定項目について説明します。
|
運用形態 設定項目 |
IPフィルタ |
IPフィルタ 透過GW |
|
|---|---|---|---|
|
基本セットアップ |
ネットワーク構成図作成 |
○ |
○ |
|
ネットワークアダプタ作成 ネットワーク設定 ホスト設定 |
△ ○ △ |
△ ○ △ |
|
|
サービス設定 サービスグループ設定 |
△ △ |
△ △ |
|
|
透過ゲートウェイ設定 |
× |
× |
|
|
ロギング設定 アラート設定 |
△ △ |
△ △ |
|
|
条件セットアップ |
パケットフィルタリング設定 |
○ |
○ |
|
パラメタチューニング |
△ |
△ |
|
○:必須、△:運用に応じて必要、×:不要
備考
上記の表の設定以外にも、必要に応じて以下の設定が必要になります。
リモート端末接続を行う場合は、Safegate client 設定が必要です。
アンチウィルス機能を利用する場合は、アンチウィルスサーバの設定が必要です。
|
運用形態 設定項目 |
IPフィルタ 暗号GW |
IPフィルタ IPsec GW |
IPフィルタ IKE GW |
|
|---|---|---|---|---|
|
基本セットアップ |
ネットワーク構成図作成 |
○ |
○ |
○ |
|
ネットワークアダプタ作成 ネットワーク設定 ホスト設定 |
△ ○ △ |
△ ○ △ |
△ ○ △ |
|
|
相手暗号ゲ−トウェイ設定 IPsecゲートウェイ設定 IKEゲートウェイ設定 |
○ × × |
× ○ × |
× × ○ |
|
|
サービス設定 サービスグループ設定 |
△ △ |
△ △ |
△ △ |
|
|
透過ゲートウェイ設定 |
× |
× |
× |
|
|
自暗号ゲートウェイ設定 |
○ |
× |
× |
|
|
ロギング設定 アラート設定 |
△ △ |
△ △ |
△ △ |
|
|
条件セットアップ |
暗号通信条件設定 |
○ |
○ |
○ |
○:必須、△:運用に応じて必要、×:不要
備考
上記の表の設定以外にも、必要に応じて以下の設定が必要になります。
リモート端末接続を行う場合は、Safegate client 設定が必要です。
アンチウィルス機能を利用する場合は、アンチウィルスサーバの設定が必要です。
サイト間暗号通信を行う場合、暗号鍵の登録が必要です。暗号鍵は、相手の暗号ゲートウェイの管理者と同じ暗号鍵を持つように調整する必要があります。暗号鍵の登録については、暗号鍵を登録するまたは相手先暗号ゲートウェイを設定するを参照してください。
|
運用形態 設定項目 |
ローカル |
ローカル リモート端末接続機能 |
リモート |
リモート リモート端末接続機能 |
|
|---|---|---|---|---|---|
|
基本セットアップ |
ネットワーク構成図作成 |
○ |
○ |
○ |
○ |
|
ネットワークアダプタ作成 ネットワーク設定 ホスト設定 |
△ ○ ○ |
△ ○ ○ |
△ ○ ○ |
△ ○ ○ |
|
|
RADIUSサーバ設定 Safegate client設定 |
× × |
× ○ |
○ × |
○ ○ |
|
|
サービス設定 サービスグループ設定 |
△ △ |
△ △ |
△ △ |
△ △ |
|
|
透過ゲートウェイ設定 |
○ |
○ |
○ |
○ |
|
|
自暗号ゲートウェイ設定 |
× |
△ |
× |
× |
|
|
認証ゲートウェイ設定 ユーザ設定 認証期間(曜日)設定 IPsec通信提案設定 RADIUSクライアント設定 |
○ ○ △ × × |
○ ○ △ △ × |
○ × × × ○ |
○ × × × ○ |
|
|
ロギング設定 アラート設定 |
△ △ |
△ △ |
△ △ |
△ △ |
|
|
条件セットアップ |
ユーザ認証条件設定 サービス転送条件設定 |
△ △ |
△ △ |
× × |
× × |
○:必須、△:運用に応じて必要、×:不要
備考
上記の表の設定以外にも、必要に応じて以下の設定が必要になります。
アンチウィルス機能を利用する場合は、アンチウィルスサーバの設定が必要です。
ユーザ認証を行う場合は、透過ゲートウェイの設定が必要です。
サービス転送を利用する場合は、サービス転送条件の設定が必要です。
ユーザ認証を利用して外部ネットワークからクライアントが内部ネットワークのホストにアクセスする場合、必要に応じて各ホストおよびネットワークに対し、仮想アドレスの設定が必要になります。サイト間暗号通信を行う場合、暗号鍵の登録が必要です。暗号鍵は、相手の暗号ゲートウェイの管理者と同じ暗号鍵を持つように調整する必要があります。
|
目次
索引
|