13.11 SNMP 連携を行う場合の環境設定

ファイアウォール機能環境設定ガイド

目次索引

第3部ファイアウォール機能独自環境設定(Solaris版/Windows版)

> 第13章環境設定(Solaris版)

13.11 SNMP 連携を行う場合の環境設定

以下に、当社のSNMP マネージャであるNetWalker/Base、及びSystemWalker/CentricMGR と連携する場合を例に、SNMP 連携を行う場合の環境設定の方法について説明します。

■本製品の環境設定

以下の手順で環境を設定します。

環境設定ファイルへの情報設定

本製品の各ログデーモンから SNMP マネージャへ Trap を送信するための環境設定を行います。環境設定ファイルへの情報設定は、本製品インストールマシンのコンソールまたはリモートの X端末から"addsnmp" コマンドを実行することで行います。
設定情報の反映

SNMP 連携を行うために以下の機能を再起動します。
- IP パケットフィルタリング機能
- IP パケットフィルタロギング機能
- SDFW暗号（Safegate 暗号）機能
- IPsec 暗号機能
- ユーザ認証機能

なお、本製品と SNMP マネージャ間の以下のパケットフィルタリング条件は、自動的に設定されます。

送信元	SNMPマネージャ
送信先	本製品側インタフェース
処理種別	パケット通過 (Backward PASS)
サービス	snmp-trap1 （固定送信元オプションなし）

■SNMP マネージャ側での環境設定（FUJITSU NetWalker/Base の場合）

以下の手順で環境を設定します。

構成マップの作成します。

NetWalker/Base を起動した後、オートマップ機能を使用してネットワーク構成マップを作成します。この際、"root map" または "subnet map" に本製品のインストールホストが含まれるように構成マップを作成します。
本製品アイコンの置換え

構成マップ上の本製品インストールホストのアイコンを、マップ編集機能を使用してファイアウォール用アイコンに置き換えます。NetWalker/Baseでは、以下に示すアイコンパレットに、ファイアウォール用アイコン（ FJ_Firewall ）が用意されています。

アイコンを置き換えると、以下のように表示されます。

オートマップ機能およびマップ編集機能の詳細は、"FUJITSU NetWalker/Base 説明書"を参照してください。

■設定例

以下に、SNMP マネージャと連携を行う場合の設定例を示します。

コミュニティ名"public"に対して、本製品用 MIB を送信する設定例です。

addsnmp コマンドの実行

/opt/FSUNfwip/bin/addsnmp -i le0 -a 192.168.1.1 -m public -s

パケットフィルタリング条件の設定

送信元

送信先

方向

サービス

処理種別

snmp-mngr

le0

Backward

snmp-trap1

PASS

送信元	送信先	方向	サービス	処理種別
snmp-mngr	le0	Backward	snmp-trap1	PASS

■SNMPマネージャ側での環境設定（SystemWalker/CentricMGR の場合）

以下の手順で環境を設定します。

ネットワーク構成情報の検出

SystemWalkerをインストール後、運用管理サーバでSystemWalkerコンソールの「監視」ウィンドウを起動すると、初回だけ[ノード検出]ダイアログが表示され、ノードの自動検出を行うことができます。ノードを手動で定義する場合は、[編集]ウィンドウの[オブジェクト]メニューの[プロパティ]メニューで定義してください。

操作手順の詳細は、"SystemWalker/CentricMGR スタートガイド"を参照してください。

SystemWalkerのセキュリティ監視機能を利用して、アラートイベントを判断する場合は、さらに以下の設定が必要です。

セキュリティ監視機能の設定

インタネットサーバ管理のセキュリティ監視機能を使用して、SystemWalkerで不正アクセスの検出を行う場合には、以下の設定を行ってください。
- SystemWalkerコンソールの[ツリー選択]ボックスから、本製品のノードが存在するツリー（ノード一覧、ノード管理、業務管理）を選択します。
- 選択したツリーのなかから、本製品のノードを選択し、[ポリシー]メニューから[ポリシーの定義]－[インタネットサーバ管理]－[ノード]を選択すると、[インタネットサーバ管理－動作環境設定]ダイアログボックスが表示されます。
- [インタネットサーバ管理－動作環境設定]ダイアログボックスで[Firewall]タブを選択します。
- セキュリティ監視のチェックボックスをチェックします。
- 運用形態に応じて、監視項目の設定を行います。
セキュリティ監視機能を利用する場合、addsnmpコマンドで本製品の環境設定を行う際に、-cオプションを指定してください。本オプションを指定した場合、本製品上でパケットの破棄を検出した場合、SystemWalkerに対して、"Firewall監視アラート"を通知します。SystemWalkerは、このSNMP TRAPを監視し、監視項目のしきい値を超えた場合、不正アクセスと判断し、コンソールにアラート通知されます。
ポリシー配布

設定したポリシーを配布します。

また、ポリシーを配布する場合、"配布先でサービスを再起動した時に適用する"を選択してください。

注）

セキュリティ監視を継続して行い場合、以下のサービスを自動起動にしてください。

サービス名

SystemWalker MpNsAgtMain

SystemWalker MpNsAgtComm

サービス名
SystemWalker MpNsAgtMain
SystemWalker MpNsAgtComm

目次索引