ファイアウォール機能 テクニカルガイド |
目次
索引
![]() ![]() |
第4章 運用例(統合環境設定)(Linux版) | > 4.2 拡張運用 | > 4.2.1 アンチウイルスの設定例 |
http のアンチウイルス環境を構築する場合の設定例を示します。
上図のように、社外側 I/F には、IPアドレスとしてグローバルアドレスを使用します。社内よりインターネット上のマシンにアクセスする場合は、プロキシサーバ経由でアクセスすることで、社内のマシンの IP アドレスはグローバルアドレス、プライベートアドレスのどちらでも使用できます。また、DMZ 上からプロキシサーバへアクセスする場合は、アドレス変換機能を経由するように設定することで、DMZ 上のマシンの IP アドレスはグローバルアドレス、プライベートアドレスのどちらでも使用できます。
ポリシー情報を管理コンソールからファイアウォール(サーバ本体)に配信すると、DstNATの仮想IPアドレスとして設定されたIPアドレスが、ファイアウォール(サーバ本体)自身に割り振られたIPアドレスとしてファイアウォール(サーバ本体)に設定されると同時に、そのIPアドレスがARPにより広報されます。その時、その仮想IPアドレスを持つマシン上で(本設定例の場合には、プロキシサーバ上で)、「ネットワーク上の別のシステムと競合するIPアドレスを検出しました」等のメッセージが表示される場合がありますが、動作上問題ありません。
サービス |
ポリシー |
---|---|
http-proxy |
社内からプロキシサーバを経由したインターネット上の http サーバへのアクセスをDMZ のアンチウイルスサーバを経由することでウイルスチェックを行う。 |
以下に、定義内容の例を示します。
以下の設定をします。
項目 |
設定値 |
接続元のIPアドレス |
[H]client(192.168.0.2) |
フィルタ条件(サービス) |
http-proxy |
クライアント(送信元)に接続しているファイアウォール(サーバ本体)のアダプタを指定します。
仮想IPアドレスにプロキシサーバのIPアドレスを指定します。
アンチウィルスサーバに接続しているファイアウォール(サーバ本体)のアダプタを指定します。
実IPアドレスにアンチウィルスサーバのIPアドレスを指定します。
アンチウィルサーバに接続しているファイアウォール(サーバ本体)のアダプタを指定します。
仮想IPアドレスに、ファイアウォール(サーバ本体)の外側のアダプタのIPアドレスを指定します。
また。接続元のポートを指定します。
変換後の送信元ポートがSDFW起点の通信と同じになった場合、以下のような状態になり、通信が正常に行えない場合があります。
- UDP通信でマッピングポートの検索が正常に行えない。
- TCP/UDP通信で同じサーバの同じサービスに接続した場合、サーバ側から2つの通信の区別がつかない。
この問題は、SrcNAPTのアドレス変換で使用する接続元のポートをファイアウォール(サーバ)が使用するポートとバッティングしない範囲に設定することで回避できます。
プロキシサーバに接続しているファイアウォール(サーバ本体)のアダプタを指定します。
目次
索引
![]() ![]() |