演習２　ポリシー設定

ここでは、SSG/NetScreenにポリシーを設定して、許可されたものだけが、各種サーバに接続できるようになるまでを演習します。

2009年06月28日 更新

目次 ・WebUIによる設定 ・CLIによる設定 WebUIによる設定 演習１では、全ての通信が許可されるようにポリシーを設定しましたが、ここでは、決められたアドレスやサービス（ポート）の通信しか許可されないように設定していきます。 ①PCからWebサーバとFTPサーバへの接続のみ許可 FW1に、ポリシーの設定をします。メニューの、Policyをクリックして、画面上部の、Fromを「Trust」、Toを「Untrust」にして、「New」をクリックすると、次の画面に移ります。SourceアドレスをFW1のTrustのセグメント、DestinationアドレスをサーバのあるFW2のTrustのアドレスに設定します。 Serviceでは、許可するサービスを決めます。クリックして、以下のようにHTTPとFTPを選択してください。 右側にあるサービス群から、「<<」をクリックして、許可するサービスを左側に移します。 設定画面で「OK」を押して、設定を終了させると、つぎのように表示されます。 最初に作った、全てを許可するポリシーは、Removeするか、「Enable」のチェックを外しておきましょう。Enableのチェックを外さない場合は「Action」をDeny（×のアイコン）にしておきましょう。そうしないと、結局は全てが許可されることになります。 今度は、FW2からの通信もWebとFTPだけを許可するようにします。以下のようになればOKです。 次に、FW2(SSG5)側もポリシーを設定します。PCからの接続をWebとFTPのみを許可する場合は以下のように設定します。 さて、これでSSG/NetScreen側の準備は整いました。ここでサーバにまだWebサーバとFTPサーバの設定を済ませていない場合は済ませておきましょう。 以下では、Windows Server2008評価版を使ってWebサーバとFTPサーバを構築してみます。セキュリティ等は考慮していないので、正式な構築方法は他のサイトを参考にすることをお勧めします。 サーバマネージャを起動して役割の追加で「Webサーバ(IIS)」を選択します。 以下のように、HTTPの基本的な機能を選択します。 バーをスクロールして、FTPの機能にもチェックを入れます。 スタートメニューから管理ツールを選択して、IISマネージャーを立ち上げ、以下のようにデフォルトのサイトに自作等のHTTPコンテンツを保存します。デフォルトの保存場所は、C:inetpub > wwwrootです。 FTPサーバも、上記の左ペインの「FTPサイト」から設定できますのでいろいろ試してみてください。 これで、WebサーバとFTPサーバが構築できましたので、FW1側にあるPCから接続してみましょう。 まずは、Webサーバから。FW2側にあるサーバのアドレスを指定します。 Webブラウザのアドレスバーに「http://192.168.2.11/」と入力して接続します。 画像をクリックすると、大きなサイズの画像が開きます。 このようにWebサイトが表示されれば成功です。 では、今度はFTPサーバに接続してみましょう。 アドレスバーに「ftp://192.168.2.11/」と入力して接続します。 こちらもこのように表示されれば成功です。 トラブルシューティング Webサイト、FTPサイトが表示されない場合、次のことを確認してみてください。 ・SSG/NetScreenのTrustゾーンのインターフェイスの設定が「Route」モードになっているかどうか。「NAT」に設定している場合、ソースアドレスがUntrustのアドレス172.30.1.1（172.30.1.2）に変換されてしまうため、上記で設定したポリシーに拒否されてしまいます。 なお、上記のポリシーではpingもtracerouteも拒否されてしまいますので、疎通を確認したい場合は、ポリシーのサービスに「PING」と「TRACEROUTE」を追加しましょう。 ②PC1とPC2で接続できるサービスを制限する 次に、PC1はWebサーバのみ、PC2はFTPサーバのみ接続できるように、ポリシーを変更してみましょう。 FW2で以下のように設定してください。Denyのポリシーは削除しても問題ありません（暗黙のDenyが機能するため）。 上記の設定により、PC1はWebサイトは表示されるけれども、FTPサイトの表示は失敗し、PC2からは、FTPサイトは表示できても、Webサイトの表示ができなければ成功です。 CLIによる設定（②の設定です） ・FW1（NetScreen-5GT） IPアドレス設定 set interface trust ip 192.168.1.254/24 set interface trust route　　　　　←これがnatになっている場合は左のように変更してください。 set interface untrust ip 172.30.1.1/30 set interface untrust route アドレスブック set address "Trust" "PC1and2" 192.168.1.0 255.255.255.0 set address "Untrust" "SERVER" 192.168.2.0 255.255.255.0 ポリシーに適用するアドレスやセグメントごとに名前を付けます。これを設定しておかないと、ポリシーの設定で失敗します。 サービスグループ set group service "HTTP-FTP" set group service "HTTP-FTP" add "FTP" set group service "HTTP-FTP" add "HTTP" 複数のサービスをポリシーに適用する場合は上記のようにグループ化しておくと便利です。 ポリシー set policy id 3 name "PCtoServer" from "Trust" to "Untrust" "PC1and2" "SERVER" "HTTP-FTP" permit log set policy id 3 exit set policy id 4 name "Server_to_PC" from "Untrust" to "Trust" "SERVER" "PC1and2" "HTTP-FTP" permit log set policy id 4 exit ルーティング set route 192.168.2.0/24 interface untrust gateway 172.30.1.2 ・FW2（SSG5） アドレス設定 set interface "ethernet0/0" zone "Untrust" set interface "bgroup0" zone "Trust" set interface bgroup0 port ethernet0/2 set interface bgroup0 port ethernet0/3 set interface bgroup0 port ethernet0/4 set interface bgroup0 port ethernet0/5 set interface bgroup0 port ethernet0/6 set interface ethernet0/0 ip 172.30.1.2/30 set interface ethernet0/0 route　　　←natになっている場合は左のように変更してください。 set interface bgroup0 ip 192.168.2.254/24 set interface bgroup0 route アドレスブック set address "Trust" "SERVER" 192.168.2.0 255.255.255.0 set address "Untrust" "PC1" 192.168.1.11 255.255.255.255 set address "Untrust" "PC1and2" 192.168.1.0 255.255.255.0 set address "Untrust" "PC2" 192.168.1.12 255.255.255.255 サービスグループ set group service "HTTP-FTP" set group service "HTTP-FTP" add "FTP" set group service "HTTP-FTP" add "HTTP" ポリシー set policy id 3 name "Server_toPC" from "Trust" to "Untrust" "SERVER" "PC1and2" "HTTP-FTP" permit log set policy id 3 exit set policy id 5 name "PC1toServer" from "Untrust" to "Trust" "PC1" "SERVER" "HTTP" permit log set policy id 5 exit set policy id 6 name "PC2toServer" from "Untrust" to "Trust" "PC2" "SERVER" "FTP" permit log set policy id 6 exit ルーティング set route 192.168.1.0/24 interface ethernet0/0 gateway 172.30.1.1 演習目次に戻る 総合案内に戻る