設定例集#7: ブリッジモードでのUTM機能
ブリッジモードでUTM機能を使用するための設定をします。
既存のルーターと端末の間に、ブリッジとして動作するよう設定した本製品を設置することにより、ネットワークの設定等を変更せずにUTM機能を利用可能です。
ブリッジ構成(ブリッジポート)で使用できるUTM機能は、本設定例で使用している侵入防御(IPS)とIPレピュテーション(IPアドレスブラックリスト)、および本設定例では使用していないマルウェアプロテクション(ストリーム型アンチウイルス)とURLフィルターだけです。他のUTM機能はルーティング用インターフェースでしか使用できません。
IPレピュテーション(IPアドレスブラックリスト)機能を使用するにはアニュアルライセンスが必要です。
構成
設定開始前に
自動設定の確認と削除
本設定例に掲載されているコマンドは、設定がまったく行われていない本製品の初期状態(スタートアップコンフィグなしで起動した状態)から入力することを前提としています。
そのため、通常は erase startup-config を実行し、スタートアップコンフィグが存在しない状態で起動してから、設定を始めてください。
ただし、本製品はスタートアップコンフィグなしで起動した場合でも、特定の条件を満たすと自動的な設定を行うことがあるため、その場合は設定例にしたがってコマンドを入力しても、コマンドがエラーになったり、全体として意図した動作にならない可能性があります。
これを避けるため、設定開始にあたっては次のいずれかの方法をとることをおすすめします。
- ネットワークケーブルを接続せずに起動する。
起動時に自動設定が実行されるための条件の一つに、特定インターフェースのリンクアップがあります。
ネットワークケーブルを接続しない状態で起動することにより、自動設定の適用を回避できます。
- 自動設定を手動で削除してから設定を行う。
前記の方法を採用できず自動設定が適用されてしまった場合は、「自動的な設定内容の削除」にしたがって、これらを手動で削除してから設定を開始してください。
自動設定が行われる条件などの詳細については、AMF応用編のAMFネットワーク未検出時の拡張動作をご参照ください。
システム時刻の設定
ログなどの記録日時を正確に保ち、各種機能を適切に動作させるため、システム時刻は正確にあわせて運用することをおすすめします。
ご使用の環境にあわせ、次のいずれかの方法でシステム時刻を設定してください。
ルーターの設定
- LANポートにおいて初期状態で有効化されているスパニングツリープロトコル(RSTP)を無効化します。これにはspanning-tree enableコマンドをno形式で実行します。
スパニングツリープロトコルの詳細は「L2スイッチング」/「スパニングツリープロトコル」をご覧ください。
no spanning-tree rstp enable
- ソフトウェアブリッジ「1」を作成します。これには、bridgeコマンドを使います。
ブリッジングの詳細は「ブリッジング」/「一般設定」をご覧ください。
bridge 1
- ソフトウェアブリッジ「1」にWANポートeth1をブリッジポートとして追加します。これにはbridge-groupコマンドを使います。
interface eth1
bridge-group 1
- ソフトウェアブリッジ「1」にvlan1をブリッジポートとして追加します。これにはbridge-groupコマンドを使います。
interface vlan1
bridge-group 1
- 侵入防御(IPS)機能の設定を行います。
これには、ips、protectの各コマンドを使います。
この設定では、異常なイベントをログに記録するだけですが、category actionコマンドによって、特定のイベントを検出したときに該当パケットを破棄する設定も可能です。
侵入防御(IPS)の詳細は「UTM」/「侵入防御(IPS)」をご覧ください。
ips
protect
- IPレピュテーション(IPアドレスブラックリスト)機能の設定を行います。
これには、ip-reputation、provider、protectの各コマンドを使います。
IPレピュテーション(IPアドレスブラックリスト)の詳細は「UTM」/「IPレピュテーション」をご覧ください。
ip-reputation
provider lac proofpoint
protect
- IPレピュテーション(IPアドレス・ブラックリスト)機能のIPレピュテーションデータベースを定期的に更新するため、ソフトウェアブリッジ「1」全体を表すブリッジインターフェース「br1」にIPアドレスを設定します。これにはip addressコマンドを使います。
IPインターフェースの詳細は「IP」/「IPインターフェース」をご覧ください。
interface br1
ip address 192.168.1.254/24
- IPレピュテーションデータベースをダウンロードするために必要な名前解決用のDNSサーバーを手動設定します。これには、ip name-serverコマンドを使います。
ここではDNSサーバーアドレスとして、DNSリレー機能が動作している既設ルーターのLAN側IPアドレスを指定しています。
ip name-server 192.168.1.1
- デフォルト経路を既存ルーターに向けて設定します。これには、ip routeコマンドを使います。
IP経路設定の詳細は「IP」/「経路制御」をご覧ください。
ip route 0.0.0.0/0 192.168.1.1
- 以上で設定は完了です。
end
設定の保存
■ 設定が完了したら、現在の設定内容を起動時コンフィグとして保存してください。これには、copyコマンドを「copy running-config startup-config」の書式で実行します。
awplus# copy running-config startup-config ↓
Building configuration...
[OK]
また、write fileコマンド、write memoryコマンドでも同じことができます。
awplus# write memory ↓
Building configuration...
[OK]
その他、設定保存の詳細については「運用・管理」/「コンフィグレーション」をご覧ください。
ルーターのコンフィグ
!
no spanning-tree rstp enable
!
bridge 1
!
interface eth1
bridge-group 1
!
interface vlan1
bridge-group 1
!
ips
protect
!
ip-reputation
provider lac proofpoint
protect
!
interface br1
ip address 192.168.1.254/24
!
ip name-server 192.168.1.1
!
ip route 0.0.0.0/0 192.168.1.1
!
end
(C) 2015 - 2023 アライドテレシスホールディングス株式会社
PN: 613-002107 Rev.AY