設定例集#67: UTMオフロード
UTMオフロードは、一部のUTM機能の処理を他のコンピューター(オフロードデバイス)に委託(オフロード)する機能です。
オフロードにより、本製品のCPU、メモリーに対する負荷が軽減され、UTM各機能のスループットを全般的に向上させることができます。
オフロードできるのは下記UTM機能の処理です。
本設定例は、PPPoEを使ってインターネットサービスプロバイダー(ISP)に接続している環境ですべてのUTM機能を有効にし、さらにUTMオフロード機能を利用して一部の処理をオフロードします。
UTMオフロード機能はAT-AR4050Sでのみ利用可能です。
UTMオフロード、IPレピュテーション(IPアドレスブラックリスト)、マルウェアプロテクション(ストリーム型アンチウイルス)、Webコントロール(URLフィルタリング)機能を使用するには、それぞれアニュアルライセンスが必要です。また、アプリケーションコントロール(DPI)機能において、サンドバイン社が提供するアプリケーションシグネチャデータベースを使用する場合もアニュアルライセンスが必要です
構成
| ISPから提供された情報 |
| ISP接続用ユーザー名 |
user@isp |
| ISP接続用パスワード |
isppasswd |
| PPPoEサービス名 |
指定なし |
| WAN側IPアドレス |
動的割り当て(IPCP) |
| DNSサーバー |
自動取得(IPCP) |
| ルーターの基本設定 |
| WAN側物理インターフェース |
eth1 |
| WAN側(ppp0)IPアドレス |
接続時にISPから取得 |
| LAN側(vlan1)IPアドレス |
192.168.10.1/24 |
| オフロードインターフェース |
eth2 |
| オフロードサブネット |
10.0.0.0/24 |
設定開始前に
自動設定の確認と削除
本設定例に掲載されているコマンドは、設定がまったく行われていない本製品の初期状態(スタートアップコンフィグなしで起動した状態)から入力することを前提としています。
そのため、通常は erase startup-config を実行し、スタートアップコンフィグが存在しない状態で起動してから、設定を始めてください。
ただし、本製品はスタートアップコンフィグなしで起動した場合でも、特定の条件を満たすと自動的な設定を行うことがあるため、その場合は設定例にしたがってコマンドを入力しても、コマンドがエラーになったり、全体として意図した動作にならない可能性があります。
これを避けるため、設定開始にあたっては次のいずれかの方法をとることをおすすめします。
- ネットワークケーブルを接続せずに起動する。
起動時に自動設定が実行されるための条件の一つに、特定インターフェースのリンクアップがあります。
ネットワークケーブルを接続しない状態で起動することにより、自動設定の適用を回避できます。
- 自動設定を手動で削除してから設定を行う。
前記の方法を採用できず自動設定が適用されてしまった場合は、「自動的な設定内容の削除」にしたがって、これらを手動で削除してから設定を開始してください。
自動設定が行われる条件などの詳細については、AMF応用編のAMFネットワーク未検出時の拡張動作をご参照ください。
システム時刻の設定
ログなどの記録日時を正確に保ち、各種機能を適切に動作させるため、システム時刻は正確にあわせて運用することをおすすめします。
ご使用の環境にあわせ、次のいずれかの方法でシステム時刻を設定してください。
ルーターの設定
- LANポートにおいて初期状態で有効化されているスパニングツリープロトコル(RSTP)を無効化します。これにはspanning-tree enableコマンドをno形式で実行します。
スパニングツリープロトコルの詳細は「L2スイッチング」/「スパニングツリープロトコル」をご覧ください。
no spanning-tree rstp enable
- WANポートeth1上にPPPoEインターフェースppp0を作成します。これには、encapsulation pppコマンドを使います。
PPPの詳細は「PPP」/「一般設定」をご覧ください。
interface eth1
encapsulation ppp 0
- PPPインターフェースppp0に対し、PPPoE接続のための設定を行います。
・IPCPによるDNSサーバーアドレスの取得要求(ppp ipcp dns)
・LCP EchoによるPPP接続状態の確認(keepalive)
・IPCPによるIPアドレスの取得要求(ip address negotiated)
・ユーザー名(ppp username)
・パスワード(ppp password)
・MSS書き換え(ip tcp adjust-mss)
PPPの詳細は「PPP」/「一般設定」をご覧ください。
interface ppp0
ppp ipcp dns request
keepalive
ip address negotiated
ppp username user@isp
ppp password isppasswd
ip tcp adjust-mss pmtu
- LAN側インターフェースvlan1にIPアドレスを設定します。これにはip addressコマンドを使います。
IPインターフェースの詳細は「IP」/「IPインターフェース」をご覧ください。
interface vlan1
ip address 192.168.10.1/24
- アプリケーションコントロール(DPI)機能の設定を行います。
これには、dpi、provider、enableの各コマンドを使います。
アプリケーションコントロール(DPI)の詳細は「UTM」/「アプリケーションコントロール(DPI)」をご覧ください。
dpi
provider procera
enable
- IPレピュテーション(IPアドレスブラックリスト)機能の設定を行います。
これには、ip-reputation、provider、category action、protectの各コマンドを使います。
IPレピュテーション(IPアドレスブラックリスト)の詳細は「UTM」/「IPレピュテーション」をご覧ください。
ip-reputation
provider lac proofpoint
category LAC action deny
category Bot action deny
category ChatServer action deny
protect
- 侵入防御(IPS)機能の設定を行います。
これには、ips、category action、protectの各コマンドを使います。
ここでは、HTTPに関するエラーや異常を検出したときに該当パケットを破棄するよう設定しています。
侵入防御(IPS)の詳細は「UTM」/「侵入防御(IPS)」をご覧ください。
ips
category http-events action deny
protect
- マルウェアプロテクション(ストリーム型アンチウイルス)機能の設定を行います。
これには、malware-protection、provider kaspersky、protectの各コマンドを使います。
マルウェアプロテクション(ストリーム型アンチウイルス)の詳細は「UTM」/「マルウェアプロテクション(ストリーム型アンチウイルス)」をご覧ください。
malware-protection
provider kaspersky
protect
- アンチウイルス(プロキシー型アンチウイルス)機能の設定を行います。
これには、antivirus、provider kaspersky、protectの各コマンドを使います。
アンチウイルス(プロキシー型アンチウイルス)の詳細は「UTM」/「アンチウイルス(プロキシー型アンチウイルス)」をご覧ください。
antivirus
provider kaspersky
protect
- URLフィルター機能の設定を行います。
これには、url-filter、blacklist、protectの各コマンドを使います。
URLフィルターの詳細は「UTM」/「URLフィルター」をご覧ください。
url-filter
blacklist b1.txt
protect
- ファイアウォールやNATのルール作成時に使うエンティティー(通信主体)を定義します。
エンティティー定義の詳細は「UTM」/「エンティティー定義」をご覧ください。
内部ネットワークを表すゾーン「private」を作成します。
また、Webコントロールで使用するためのホスト「hostA」を定義します。
これには、zone、network、ip subnet、host、ip addressの各コマンドを使います。
zone private
network lan
ip subnet 192.168.10.0/24
host hostA
ip address 192.168.10.10
- 外部ネットワークを表すゾーン「public」を作成します。
zone public
network wan
ip subnet 0.0.0.0/0 interface ppp0
host ppp0
ip address dynamic interface ppp0
- オフロードデバイスとの通信に使うオフロードサブネットを表すゾーン「offload」を作成します。
zone offload
network eth2
ip subnet 10.0.0.0/24
- Webコントロール(URLフィルタリング)機能の設定を行います。
これには、web-control、action、provider digitalarts、rule、protectの各コマンドを使います。
ここでは、デフォルトアクションを許可に設定し、特定のサイトだけを禁止するブラックリスト方式の動作に設定しています。
なお、rule 10により、ホスト「hostA」(192.168.10.10)からの通信はすべて許可するよう設定しています。
Webコントロール(URLフィルタリング)の詳細は「UTM」/「Webコントロール」をご覧ください。
web-control
action permit
provider digitalarts
rule 10 permit any from private.lan.hostA
rule 20 deny "Nudity, Adult Products" from private
rule 30 deny "Pornography, Adult Content" from private
protect
- 外部からの通信を遮断しつつ、内部からの通信は自由に行えるようにするファイアウォール機能の設定を行います。
これには、firewall、rule、protectの各コマンドを使います。
ここでは、アプリケーションコントロール(DPI)機能によってShareおよびWinnyの通信と判別された内→外のトラフィックを破棄するよう設定しています。
・rule 10 - 内部から外部への Share(sharep2p)通信を破棄します
・rule 20 - 内部から外部への Winny(winny)通信を破棄します
・rule 30 - 内部から内部への通信を許可します
・rule 40 - 内部から外部への通信を許可します
・rule 50 - 本製品のオフロードインターフェースとオフロードデバイス間の通信を許可します
・rule 60 - UTM各機能のデータベースやイメージの更新・問い合わせ用に、本製品のWAN側インターフェースから外部へのDNS通信を許可します
・rule 70 - URLカテゴリーデータベースへの問い合わせ用に、本製品のWAN側インターフェースから外部へのHTTP通信を許可します
・rule 80, 90, 100 - IPレピュテーションデータベース、マルウェアシグネチャデータベース、アプリケーションシグネチャデータベース、オフロードデバイスイメージのダウンロード用に、本製品のWAN側インターフェースから外部へのHTTPS、SSL、TCP通信を許可します
・rule 110 - 本製品のWAN側インターフェースから外部への通信について、DPIによる判別が完了していないトラフィックを許可します
ファイアウォールの詳細は「UTM」/「ファイアウォール」をご覧ください。
firewall
rule 10 deny sharep2p from private to public
rule 20 deny winny from private to public
rule 30 permit any from private to private
rule 40 permit any from private to public
rule 50 permit any from offload.eth2 to offload.eth2
rule 60 permit dns from public.wan.ppp0 to public.wan
rule 70 permit http from public.wan.ppp0 to public.wan
rule 80 permit https from public.wan.ppp0 to public.wan
rule 90 permit ssl from public.wan.ppp0 to public.wan
rule 100 permit TCP from public.wan.ppp0 to public.wan
rule 110 permit undecided from public.wan.ppp0 to public.wan
protect
- LAN側ネットワークに接続されているすべてのコンピューターがダイナミックENAT機能を使用できるよう設定します。
これには、nat、rule、enableの各コマンドを使います。
NATの詳細は「UTM」/「NAT」をご覧ください。
nat
rule 10 masq any from private to public
enable
- DNSリレー機能を有効にします。これには、ip dns forwardingコマンドを使います。
DNSリレー機能の詳細は「IP付加機能」/「DNSリレー」をご覧ください。
ip dns forwarding
- デフォルト経路をPPPインターフェースppp0に向けます。これにはip routeコマンドを使います。
IP経路設定の詳細は「IP」/「経路制御」をご覧ください。
ip route 0.0.0.0/0 ppp0
- UTMオフロード機能を有効にします。これにはutm-offloadコマンドを使います。
ここではeth2にオフロードデバイスを接続し、オフロードデバイスとの通信に10.0.0.0/24のサブネットを使うよう設定しています。
UTMオフロードの機能の詳細は「UTM」/「UTMオフロード」をご覧ください。
utm-offload interface eth2 subnet 10.0.0.0/24
- 以上で設定は完了です。
end
設定の保存
■ 設定が完了したら、現在の設定内容を起動時コンフィグとして保存してください。これには、copyコマンドを「copy running-config startup-config」の書式で実行します。
awplus# copy running-config startup-config ↓
Building configuration...
[OK]
また、write fileコマンド、write memoryコマンドでも同じことができます。
awplus# write memory ↓
Building configuration...
[OK]
その他、設定保存の詳細については「運用・管理」/「コンフィグレーション」をご覧ください。
ファイアウォール、各種UTM機能のログについて
■ ファイアウォールのログを記録するには、次のコマンド(log(filter))を実行します。
awplus(config)# log buffered level informational facility kern msgtext Firewall ↓
記録されたログを見るには、次のコマンド(show log)を実行します。ここでは、ファイアウォールが出力したログメッセージだけを表示させています。
awplus# show log | include Firewall ↓
■ 各種UTM機能のログを記録するには、次のコマンド(log(filter))を実行します。
awplus(config)# log buffered level informational facility local5 ↓
記録されたログを見るには、次のコマンド(show log)を実行します。ここでは、各種UTM機能が出力したログメッセージだけを表示させています。
awplus# show log | include local5 ↓
ルーターのコンフィグ
!
no spanning-tree rstp enable
!
interface eth1
encapsulation ppp 0
!
interface ppp0
ppp ipcp dns request
keepalive
ip address negotiated
ppp username user@isp
ppp password isppasswd
ip tcp adjust-mss pmtu
!
interface vlan1
ip address 192.168.10.1/24
!
dpi
provider procera
enable
!
ip-reputation
provider lac proofpoint
category LAC action deny
category Bot action deny
category ChatServer action deny
protect
!
ips
category http-events action deny
protect
!
malware-protection
provider kaspersky
protect
!
antivirus
provider kaspersky
protect
!
url-filter
blacklist b1.txt
protect
!
zone private
network lan
ip subnet 192.168.10.0/24
host hostA
ip address 192.168.10.10
!
zone public
network wan
ip subnet 0.0.0.0/0 interface ppp0
host ppp0
ip address dynamic interface ppp0
!
zone offload
network eth2
ip subnet 10.0.0.0/24
!
web-control
action permit
provider digitalarts
rule 10 permit any from private.lan.hostA
rule 20 deny "Nudity, Adult Products" from private
rule 30 deny "Pornography, Adult Content" from private
protect
!
firewall
rule 10 deny sharep2p from private to public
rule 20 deny winny from private to public
rule 30 permit any from private to private
rule 40 permit any from private to public
rule 50 permit any from offload.eth2 to offload.eth2
rule 60 permit dns from public.wan.ppp0 to public.wan
rule 70 permit http from public.wan.ppp0 to public.wan
rule 80 permit https from public.wan.ppp0 to public.wan
rule 90 permit ssl from public.wan.ppp0 to public.wan
rule 100 permit TCP from public.wan.ppp0 to public.wan
rule 110 permit undecided from public.wan.ppp0 to public.wan
protect
!
nat
rule 10 masq any from private to public
enable
!
ip dns forwarding
!
ip route 0.0.0.0/0 ppp0
!
utm-offload interface eth2 subnet 10.0.0.0/24
!
end
(C) 2015 - 2019 アライドテレシスホールディングス株式会社
PN: 613-002107 Rev.AA