ファイアウォール機能 テクニカルガイド

目次 索引

4.2.1.1 http のアンチウイルス環境の構築

http のアンチウイルス環境を構築する場合の設定例を示します。

[図: http のアンチウイルス環境を構築する場合の設定例]

上図のように、社外側 I/F には、IPアドレスとしてグローバルアドレスを使用します。社内よりインターネット上のマシンにアクセスする場合は、プロキシサーバ経由でアクセスすることで、社内のマシンの IP アドレスはグローバルアドレス、プライベートアドレスのどちらでも使用できます。また、DMZ 上からプロキシサーバへアクセスする場合は、アドレス変換機能を経由するように設定することで、DMZ 上のマシンの IP アドレスはグローバルアドレス、プライベートアドレスのどちらでも使用できます。

ポリシー情報を管理コンソールからファイアウォール（サーバ本体）に配信すると、DstNATの仮想IPアドレスとして設定されたIPアドレスが、ファイアウォール（サーバ本体）自身に割り振られたIPアドレスとしてファイアウォール（サーバ本体）に設定されると同時に、そのIPアドレスがARPにより広報されます。その時、その仮想IPアドレスを持つマシン上で（本設定例の場合には、プロキシサーバ上で）、「ネットワーク上の別のシステムと競合するIPアドレスを検出しました」等のメッセージが表示される場合がありますが、動作上問題ありません。

■［サービスの利用範囲］

■［定義例］

以下に、定義内容の例を示します。

◆アドレスリソース

◆アドレス変換ポリシー(DstNAT)

接続元(1)、変換条件(2)

以下の設定をします。

外部ネットワーク側 アダプタ(3)

クライアント(送信元)に接続しているファイアウォール（サーバ本体）のアダプタを指定します。

接続先(4)

仮想IPアドレスにプロキシサーバのIPアドレスを指定します。

内部ネットワーク側 アダプタ(5)

アンチウィルスサーバに接続しているファイアウォール（サーバ本体）のアダプタを指定します。

変換後(6)

実IPアドレスにアンチウィルスサーバのIPアドレスを指定します。

◆アドレス変換ポリシー(SrcNAPT)

接続元(1)、変換対象(5)、接続先(6)

内部ネットワーク側 アダプタ(2)

アンチウィルサーバに接続しているファイアウォール（サーバ本体）のアダプタを指定します。

変換後(3)

仮想IPアドレスに、ファイアウォール（サーバ本体）の外側のアダプタのIPアドレスを指定します。
また。接続元のポートを指定します。

変換後の送信元ポートがSDFW起点の通信と同じになった場合、以下のような状態になり、通信が正常に行えない場合があります。
- UDP通信でマッピングポートの検索が正常に行えない。
- TCP/UDP通信で同じサーバの同じサービスに接続した場合、サーバ側から2つの通信の区別がつかない。

この問題は、SrcNAPTのアドレス変換で使用する接続元のポートをファイアウォール（サーバ）が使用するポートとバッティングしない範囲に設定することで回避できます。

外部ネットワーク側 アダプタ(4)

プロキシサーバに接続しているファイアウォール（サーバ本体）のアダプタを指定します。

◆SDFWルール

目次 索引