UTM / エンティティー定義


エンティティー定義のサンプル
エンティティー定義の作成
ゾーン
ネットワーク
ホスト
設定の確認
エンティティー定義の使用


UTM機能では各種ルールの条件指定時に下記の要素を使います。


従来のファイアウォールでは、ルールの適用対象をインターフェース、アドレス、ポート、プロトコルなどで指定していましたが、本製品ではこれらを抽象化した前記の「エンティティー(通信主体)」と「アプリケーション」で指定します。

次に指定方法の違いをまとめます。

従来の指定方法
本製品の指定方法
始点IP/IPv6アドレス 送信元エンティティー エンティティー定義
終点IP/IPv6アドレス 宛先エンティティー
DSCP値
アプリケーション定義
IPプロトコル番号
始点TCP/UDPポート番号
終点TCP/UDPポート番号
ICMPタイプ/コード

Note - DSCP値はQoSおよびポリシーベースルーティング(PBR)でのみサポートです。各機能については「トラフィック制御」/「Quality of Service」「トラフィック制御」/「ポリシーベースルーティング」をご覧ください。

ここでは、エンティティー(通信主体)の定義方法について解説します。
アプリケーションの定義方法については「UTM」/「アプリケーション定義」をご参照ください。

また、設定時にエンティティー定義を利用するファイアウォール、NAT、QoS、ポリシーベースルーティングの各機能については、「UTM」/「ファイアウォール」「UTM」/「NAT」「トラフィック制御」/「Quality of Service」「トラフィック制御」/「ポリシーベースルーティング」をご覧ください。

さらに、より具体的なエンティティー定義の例については、「設定例集」をご覧ください。

エンティティー定義のサンプル

次にエンティティー定義の一例を示します。

ここでは、UTMが識別すべきネットワークを大きく3つに分け、それぞれにゾーン名「public」、「dmz」、「private」を付けています。
各ゾーンには、サブネットの集合として定義された「ネットワーク」が任意の数所属しており、さらに各ネットワークには、IP/IPv6アドレスの集合として定義された「ホスト」が任意の数所属しています。

このように定義したエンティティーは、ルール設定コマンドの条件指定部において、次のような形式で指定できます。
ゾーン、ネットワーク、ホストの階層構造はピリオド(.)で表します。

■ ゾーン「public」から、ゾーン「dmz」内のネットワーク「servernet」内のホスト「web」への通信

from public to dmz.servernet.web


■ ゾーン「private」内のネットワーク「wireless」からネットワーク「wired」への通信

from private.wireless to private.wired


■ ゾーン「private」内のネットワーク「wired」内のホスト「adminpc」から、ゾーン「dmz」への通信

from private.wired.adminpc to dmz


エンティティー定義の作成

ファイアウォール、NATの各機能では、送信元と宛先の指定に「エンティティー定義」を使います。
そのため、UTM機能の設定にあたっては、最初に必ずエンティティーを定義します。

エンティティーは、最初にトップレベルのゾーン(zone)を作成し、
その下にネットワーク(networkコマンド)と対応するサブネット(ip subnet / ipv6 subnet)を、
さらにその下にホスト(host)と対応するアドレス(ip address / ipv6 address)を作成することで定義します。
Note - 有効なゾーンには最低1つのネットワークが存在し、また、該当ネットワークには最低1つのサブネットアドレスを関連付けておく必要があります。

Note - エンティティー定義名(ゾーン、ネットワーク、ホスト定義名)は大文字小文字を区別します。

■ ゾーン「public」と配下のネットワーク「internet」、ホスト「myself」、「vpngw」

awplus(config)# zone public

awplus(config-zone)# network internet
awplus(config-network)# ip subnet 0.0.0.0/0 interface ppp0
awplus(config-network)# ipv6 subnet ::/0 interface ppp1

awplus(config-network)# host myself
awplus(config-host)# ip address 10.1.1.1
awplus(config-host)# exit

awplus(config-network)# host vpngw
awplus(config-host)# ip address 10.2.2.2
awplus(config-host)# exit
awplus(config-network)# exit
awplus(config-zone)# exit


■ ゾーン「dmz」と配下のネットワーク「servernet」、ホスト「web」、「dns」、「mail」

awplus(config)# zone dmz

awplus(config-zone)# network servernet
awplus(config-network)# ip subnet 172.16.10.0/24
awplus(config-network)# ipv6 subnet 2001:db8:1000:10::/64

awplus(config-network)# host web
awplus(config-host)# ip address 172.16.10.1
awplus(config-host)# ipv6 address 2001:db8:1000:10::1
awplus(config-host)# exit

awplus(config-network)# host dns
awplus(config-host)# ip address 172.16.10.2
awplus(config-host)# ipv6 address 2001:db8:1000:10::2
awplus(config-host)# exit

awplus(config-network)# host mail
awplus(config-host)# ip address 172.16.10.3
awplus(config-host)# ipv6 address 2001:db8:1000:10::3
awplus(config-host)# exit
awplus(config-network)# exit
awplus(config-zone)# exit


■ ゾーン「private」と配下のネットワーク「wired」、「wireless」、「branch」、「vpn」、ホスト「adminpc」、「dbserver」

awplus(config)# zone private

awplus(config-zone)# network wired
awplus(config-network)# ip subnet 192.168.10.0/24
awplus(config-network)# ipv6 subnet 2001:db8:10:10::/64

awplus(config-network)# host adminpc
awplus(config-host)# ip address 192.168.10.254
awplus(config-host)# ipv6 address 2001:db8:10:10::fe
awplus(config-host)# exit

awplus(config-network)# host dbserver
awplus(config-host)# ip address 192.168.10.2
awplus(config-host)# exit
awplus(config-network)# exit

awplus(config-zone)# network wireless
awplus(config-network)# ip subnet 192.168.20.0/24
awplus(config-network)# ipv6 subnet 2001:db8:10:20::/64
awplus(config-network)# exit

awplus(config-zone)# network branch
awplus(config-network)# ip subnet 192.168.100.0/24
awplus(config-network)# exit

awplus(config-zone)# network vpn
awplus(config-network)# ip subnet 192.168.254.0/24
awplus(config-network)# exit
awplus(config-zone)# exit
awplus(config)# 


以下、ゾーン、ネットワーク、ホストの階層順に設定方法を詳述します。

ゾーン

「ゾーン」は「エンティティー」を構成するトップレベル要素であり、zoneコマンドで作成します。
ゾーンの配下には任意の数の「ネットワーク」(network)を定義することができます。

Note - ゾーン定義名は大文字小文字を区別します。

■ ゾーン定義「private」を作成します。

awplus(config)# zone private
awplus(config-zone)# 


■ ゾーン定義「private」を削除します。指定したゾーン配下のネットワーク定義、ホスト定義も削除される点に注意してください。

awplus# configure terminal
awplus(config)# no zone private


ネットワーク

「ネットワーク」は「エンティティー」を構成する第2レベル要素であり、networkコマンド(ゾーンモード)で作成します。
ネットワークは1個以上のIPv4/IPv6サブネットアドレス(+インターフェース名)と関連付けることで機能するようになります(ip subnet/ipv6 subnet)。

また、「ネットワーク」の配下には任意の数の「ホスト」(host)を定義することができます。

Note - ネットワーク定義名は大文字小文字を区別します。

■ ゾーン「private」配下にネットワーク定義「wired」を作成し、IPv4/IPv6サブネットと関連付けます。ネットワーク定義には最低1個のサブネットアドレスを関連付ける必要があります。

awplus(config)# zone private
awplus(config-zone)# network wired
awplus(config-network)# ip subnet 192.168.10.0/24
awplus(config-network)# ipv6 subnet 2001:db8:10:10::/64


■ ゾーン「private」配下のネットワーク定義「wired」を削除します。指定したネットワーク配下のホスト定義も削除される点に注意してください。

awplus(config)# zone private
awplus(config-zone)# no network wired


ホスト

「ホスト」は「エンティティー」を構成する第3レベル(最下位)要素であり、hostコマンド(ゾーン・ネットワークモード)で作成します。
ホストは1個以上のIPv4/IPv6アドレスと関連付けて使用します(ip address/ipv6 address)。

Note - ホスト定義名は大文字小文字を区別します。

■ ゾーン「dmz」内のネットワーク「servernet」配下にホスト定義「web」を作成し、IPv4/IPv6アドレスと関連付けます。

awplus(config)# zone dmz
awplus(config-zone)# network servernet
awplus(config-network)# ip subnet 172.16.10.0/24
awplus(config-network)# ipv6 subnet 2001:db8:1000:10::/64
awplus(config-network)# host web
awplus(config-host)# ip address 172.16.10.1
awplus(config-host)# ipv6 address 2001:db8:1000:10::1


■ ゾーン「dmz」内のネットワーク「servernet」配下のホスト定義「web」を削除します。

awplus(config)# zone dmz
awplus(config-zone)# network servernet
awplus(config-network)# no host web


設定の確認

エンティティーの設定はshow entityコマンドで確認します。

■ すべてのエンティティーを表示する。

awplus# show entity
Zone:        dmz
 Network:    dmz.servernet
  Subnet:    172.16.10.0/24
  Subnet:    2001:db8:1000:10::/64
  Host:      dmz.servernet.dns
   Address:  172.16.10.2
   Address:  2001:db8:1000:10::2
  Host:      dmz.servernet.mail
   Address:  172.16.10.3
   Address:  2001:db8:1000:10::3
  Host:      dmz.servernet.web
   Address:  172.16.10.1
   Address:  2001:db8:1000:10::1

Zone:        private
 Network:    private.branch
  Subnet:    192.168.100.0/24
 Network:    private.vpn
  Subnet:    192.168.254.0/24
 Network:    private.wired
  Subnet:    192.168.10.0/24
  Subnet:    2001:db8:10:10::/64
  Host:      private.wired.adminpc
   Address:  192.168.10.254
   Address:  2001:db8:10:10::fe
  Host:      private.wired.dbserver
   Address:  192.168.10.2
 Network:    private.wireless
  Subnet:    192.168.20.0/24
  Subnet:    2001:db8:10:20::/64

Zone:        public
 Network:    public.internet
  Subnet:    0.0.0.0/0 via ppp0
  Subnet:    ::/0 via ppp1
  Host:      public.internet.vpngw
   Address:  10.2.2.2
  Host:      public.internet.myself
   Address:  10.1.1.1


■ エンティティー「private.wired」(ゾーン「private」内のネットワーク「wired」)の情報を表示する。

awplus# show entity private.wired
Network:     private.wired
 Subnet:     192.168.10.0/24
 Subnet:     2001:db8:10:10::/64
 Host:       private.wired.adminpc
  Address:   192.168.10.254
  Address:   2001:db8:10:10::fe
 Host:       private.wired.dbserver
  Address:   192.168.10.2


■ エンティティー「dmz.servernet.mail」(ゾーン「dmz」内のネットワーク「servernet」内のホスト「mail」)の情報を表示する。

awplus# show entity dmz.servernet.mail
Host:        dmz.servernet.mail
 Address:    172.16.10.3
 Address:    2001:db8:1000:10::3


エンティティー定義の使用

エンティティー定義は、ファイアウォール、NAT、QoSの各機能でルールを作成するときに使用できます。

Note - アプリケーション定義名は大文字小文字を区別しませんが、エンティティー定義名(ゾーン、ネットワーク、ホスト定義名)は大文字小文字を区別しますので、ルールで指定するときはエンティティー定義名の大文字小文字を間違えないようにご注意ください。

■ ファイアウォールルールは、ファイアウォールモードのruleコマンドで作成します。
ファイアウォールルールでは、from xxxxで送信元のエンティティーを、to xxxxで宛先のエンティティーを指定します。

awplus(config)# firewall
awplus(config-firewall)# rule permit any from private to public
awplus(config-firewall)# rule permit mydb from private to private.wired.dbserver
awplus(config-firewall)# rule permit ssh from private.wired.adminpc to dmz.servernet
awplus(config-firewall)# rule permit http from public to dmz.servernet.web log
awplus(config-firewall)# rule permit isakmp from public.internet.vpngw to public.internet.myself
awplus(config-firewall)# rule permit esp from public.internet.vpngw to public.internet.myself

ファイアウォールの詳細については、「UTM」/「ファイアウォール」をご覧ください。

■ NATルールは、NATモードのruleコマンドで作成します。
ダイナミックENATルール(masq)では、from xxxxで送信元のエンティティーを、to xxxxで宛先のエンティティーを指定します。
スタティックENATルール(portfwd)では、from xxxxで送信元のエンティティーを、with dst xxxxで転送先のエンティティーを指定します。

awplus(config)# nat
awplus(config-nat)# rule masq any from private to public
awplus(config-nat)# rule portfwd http from public with dst dmz.servernet.web

NATの詳細については、「UTM」/「NAT」をご覧ください。

■ QoSルールは、トラフィックコントロールモードのruleコマンドで作成します。
QoSルールでは、from xxxxで送信元のエンティティーを、to xxxxで宛先のエンティティーを指定します。

awplus(config)# traffic-control
awplus(config-tc)# rule match photostorage from private to public.cloud policy MYQOS.LOW.A

QoSの詳細については、「トラフィック制御」/「Quality of Service」をご覧ください。

■ ポリシーベースルーティング(PBR)ルールは、ポリシーベースルーティングモードのip policy-routeコマンド、ipv6 policy-routeコマンドで作成します。
PBRルールでは、from xxxxで送信元のエンティティーを、to xxxxで宛先のエンティティーを指定します。

awplus(config)# policy-based-routing
awplus(config-pbr)# ip policy-route match highprio from local.net to remote.net nexthop tunnel0
awplus(config-pbr)# ip policy-route match lowprio from local.net to remote.net nexthop tunnel1

ポリシーベースルーティングの詳細については、「トラフィック制御」/「ポリシーベースルーティング」をご覧ください。


(C) 2016 アライドテレシスホールディングス株式会社

PN: 613-002311 Rev.A