| ファイアウォール機能 環境設定ガイド |
|
目次
索引
|
| 第3部 ファイアウォール機能独自環境設定(Solaris版/Windows版) | > 第13章 環境設定(Solaris版) |
ここでは、環境設定の概要および作業手順について説明します。
以下の手順で環境設定を行います。
注
IP フィルタリング機能を利用せずに、2 段接続のアプリケーション・ゲートウェイ機能だけを利用する場合、アプリケーション・ゲートウェイセットアップを利用します。アプリケーション・ゲートウェイセットアップの詳細は、アプリケーション・ゲートウェイセットアップ(agsetup)を参照してください。
構築するネットワークシステムの構成要素の関係を表す構成図を作成します。
構築するネットワークシステムを構成する各要素(ネットワーク構成図で作成した各要素)に対し、動作環境などを設定します。
インタフェース設定
利用するネットワークインタフェース(フィルタリング対象のインタフェース)の情報を設定します。
ホスト設定
パケットフィルタリングの条件を設定するホストおよび仮想アドレスを設定します。
ホストグループ設定
複数のホストに対して同じパケットフィルタリング条件を設定する場合にグループを作成します。同じ条件を設定するホストをグループ化すると、パケットフィルタリング条件を設定する場合に、そのグループに対して一度に条件を設定することができます。
ネットワーク設定
複数のホストに対して同じパケットフィルタリング条件を設定する場合に、ネットワークアドレスおよびサブネットを指定し、ネットワークを作成します。ネットワークを作成すると、パケットフィルタリング条件を設定する場合に、そのネットワークに対して一度に条件を設定することができます。
2 段接続ゲートウェイ動作環境の設定
2 段接続ゲートウェイを使用する場合、その動作環境を設定します。
透過ゲートウェイ動作環境の設定
透過ゲートウェイを使用する場合、その動作環境を設定します。非暗号通信(透過通信)を使用してユーザ認証を行う場合は、透過ゲートウェイの機能を使用してパケットの中継処理を行うため、必ず設定が必要です。
暗号ゲートウェイ動作環境設定
SDFW暗号(Safegate暗号)通信を行う場合、その暗号ゲートウェイの動作環境を設定します。
IPsec ゲートウェイ動作環境設定
IP セキュリティ通信を手動鍵設定で運用する場合、IPsecゲートウェイの動作環境を設定します。
IKE ゲートウェイ動作環境設定
IP セキュリティ通信を自動鍵交換で運用する場合、IKEゲートウェイの動作環境を設定します。
アンチウィルスサーバの設定
ウィルスチェック機能を利用する場合、アンチウィルスサーバに関する設定を行います。
RADIUS サーバの設定
リモート認証を利用する場合、認証先である RADIUS サーバに関する設定を行います。
Safegate client 設定
Safegate client を利用して、リモート端末接続を行う場合の動作環境を設定します。
Safegate 集中管理 設定
Safegate 集中管理を利用して、集中監視・遠隔操作を行う場合の動作環境を設定します。
パケットフィルタリングを行う対象のサービスに関する設定です。
プロトコル設定
利用できるプロトコルを参照できます。
サービス設定
パケットフィルタリングを行うサービスを設定します。初期設定に対して追加/削除/変更できます。
サービスグループ設定
複数のサービスに対して、同じパケットフィルタリング条件を設定する場合にグループを作成します。同じ条件を設定するサービスをグループ化すると、パケットフィルタリング条件を設定する場合に、そのグループに対して一度に条件を設定することができます。
ロギング機能およびアラート機能に関する設定です。
ロギング設定
ロギング機能の動作環境が変更できます。
アラート設定
アラート機能の動作環境が変更できます。
要素設定およびサービス設定で定義した項目を組み合わせて、パケットフィルタリングを行う場合の条件を設定します。
ユーザ認証に関する設定を行います。
認証動作環境設定
ユーザ認証を使用する場合、その動作環境を設定します。
ユーザ設定
ローカル認証を使用する場合、認証ユーザに関する情報を設定します。
フィルタリング条件パターン設定
ローカル認証を使用する場合、フィルタリング条件のパターンを設定します。この設定情報は、ユーザ設定時に使用します。
認証期間(曜日)設定
ローカル認証を使用する場合、曜日ごとに認証可能期間を設定します。この設定情報は、ユーザ設定時に使用します。
認証期間(カレンダ)設定
ローカル認証を使用する場合、年間カレンダを使用して、日ごとに認証可能期間を設定します。この設定情報は、ユーザ設定時に使用します。
RADIUS クライアント設定
リモート認証を使用する場合、RADIUS クライアントの動作環境を設定します。
IPsec 通信提案設定
Safegate client と接続して、IP セキュリティ通信を行う場合の動作環境を設定します。
環境設定終了後、セットアップを終了し、システムの再起動(IP フィルタの活性化および各デーモンの起動)を行います。
以下に、運用形態別に必要な設定項目について説明します。
|
設定項目 運用形態 |
IPフィルタ |
IPフィルタ 透過GW |
IPフィルタ 2段接続GW |
IPフィルタ 透過GW 2段接続GW |
2段接続GW |
|---|---|---|---|---|---|
|
ネットワーク構成図作成 |
○ |
○ |
○ |
○ |
○ |
|
インタフェース設定 ホスト設定 ホストグループ設定 ネットワーク設定 |
○ ○ △ △ |
○ ○ △ △ |
○ ○ △ △ |
○ ○ △ △ |
× × × × |
|
透過GW動作環境設定 2段接続GW動作環境設定 |
× × |
○ × |
× ○ |
○ ○ |
× ○ |
|
サービス設定 サービスグループ設定 |
△ △ |
△ △ |
△ △ |
△ △ |
× × |
|
ロギング設定 アラート設定 |
△ △ |
△ △ |
△ △ |
△ △ |
× × |
|
パケットフィルタリング設定 |
○ |
○ |
○ |
○ |
× |
|
パラメタチューニング |
△ |
△ |
△ |
△ |
△ |
○:必須、△:運用に応じて必要、×:不要
備考
上記の表の設定以外にも、必要に応じて以下の設定が必要になります。
リモート端末接続を行う場合は、Safegate client 設定が必要です。
アンチウィルス機能を利用する場合は、アンチウィルスサーバの設定が必要です。
|
運用形態 設定項目 |
IPフィルタ 暗号GW |
IPフィルタ IPsec GW |
IPフィルタ IKE GW |
|---|---|---|---|
|
ネットワーク構成図作成 |
○ |
○ |
○ |
|
インタフェース設定 ホスト設定 ホストグループ設定 ネットワーク設定 |
△ ○ △ |
△ ○ △ |
△ ○ △ |
|
相手暗号ゲ−トウェイ設定 IPsecゲートウェイ設定 IKEゲートウェイ設定 |
○ × × |
× ○ × |
× × ○ |
|
自暗号ゲートウェイ設定 |
○ |
× |
× |
|
サービス設定 サービスグループ設定 |
△ △ |
△ △ |
△ △ |
|
ロギング設定 アラート設定 |
△ △ |
△ △ |
△ △ |
|
パケットフィルタリング条件設定 |
○ |
○ |
○ |
○:必須、△:運用に応じて必要、×:不要
備考
上記の表の設定以外にも、必要に応じて以下の設定が必要になります。
リモート端末接続を行う場合は、Safegate client 設定が必要です。
アンチウィルス機能を利用する場合は、アンチウィルスサーバの設定が必要です。
サイト間暗号通信を行う場合、暗号鍵の登録が必要です。暗号鍵は、相手の暗号ゲートウェイの管理者と同じ暗号鍵を持つように調整する必要があります。
|
運用形態 設定項目 |
ローカル |
ローカル リモート端末接続機能 |
リモート |
リモート リモート端末接続機能 |
|---|---|---|---|---|
|
ネットワーク構成図作成 |
○ |
○ |
○ |
○ |
|
インタフェースセ設定 ホスト設定 ホストグループ設定 ネットワーク設定 |
○ ○ △ △ |
○ ○ △ △ |
○ ○ △ △ |
○ ○ △ △ |
|
サービス設定 サービスグループ設定 |
△ △ |
△ △ |
△ △ |
△ △ |
|
透過ゲートウェイ設定 |
○ |
○ |
○ |
○ |
|
自暗号ゲートウェイ設定 |
× |
△ |
× |
× |
|
認証ゲートウェイ設定 ユーザ設定 フィルタリング条件パターン設定 認証期間(曜日)設定 認証期間(カレンダ)設定 IPsec通信提案設定 RADIUSクライアント設定 |
○ ○ △ △ △ × × |
○ ○ △ △ × △ × |
○ × × × × × ○ |
○ × × × × × ○ |
|
RADIUSサーバ設定 Safegate client設定 |
× × |
× ○ |
○ × |
○ ○ |
|
ロギング設定 アラート設定 |
△ △ |
△ △ |
△ △ |
△ △ |
|
パケットフィルタリング設定 |
△ |
△ |
△ |
△ |
○:必須、△:運用に応じて必要、×:不要
備考
上記の表の設定以外にも、必要に応じて以下の設定が必要になります。
アンチウィルス機能を利用する場合は、アンチウィルスサーバの設定が必要です。
ユーザ認証を利用して外部ネットワークからクライアントが内部ネットワークのホストにアクセスする場合、必要に応じて各ホストおよびネットワークに対し、仮想アドレスの設定が必要になります。また、サイト間暗号通信を行う場合、暗号鍵の登録が必要です。暗号鍵は、相手の暗号ゲートウェイの管理者と同じ暗号鍵を持つように調整する必要があります。
|
目次
索引
|