設定例集#92: AMF Security miniによるデバイスの制御
ルーターA - AMFメンバー:PPPoEインターネット接続 + ファイアウォール/UTM ルーターB - AMFマスター:AMF Security mini + AMFアプリケーションプロキシー(プロキシーノード) スイッチ - AMFメンバー:AMFアプリケーションプロキシー(エッジノード)
AMF Security miniは、AR4050S、AR4050S-5Gでのみサポートです。AR3050Sでは使用できません。 AMF Security miniを使用するにはアニュアルライセンスが必要です。 アンチウイルス(プロキシー型アンチウイルス)はAT-AR3050Sでは使用できません。 IPレピュテーション(IPアドレスブラックリスト)、マルウェアプロテクション(ストリーム型アンチウイルス)、アンチウイルス(プロキシー型アンチウイルス)機能を使用するには、それぞれアニュアルライセンスが必要です。 UTM各機能を使用するルーターの設定については、設定例「PPPoEによる端末型インターネット接続(UTM各機能の併用)」 をあわせてご参照ください。
構成
ISPから提供された情報
ISP接続用ユーザー名
user@isp
ISP接続用パスワード
isppasswd
PPPoEサービス名
指定なし
WAN側IPアドレス
動的割り当て(IPCP)
DNSサーバー
自動取得(IPCP)
AMF関連設定
AMFネットワーク名
AMF001
AMFマスター
ルーターB
ルーターA・B/スイッチ共通設定
ユーザー名
manager
パスワード
friend
ルーターAの基本設定
想定機種
AT-AR4050S
ホスト名
awplus-UTM-Router
WAN側物理インターフェース
eth1
WAN側(ppp0)IPアドレス
接続時にISPから取得
LAN側(vlan10)IPアドレス
192.168.10.1/24
LAN側(vlan100)IPアドレス
192.168.100.1/24
LAN側(vlan101)IPアドレス
192.168.101.1/24
UTM関連機能
ファイアウォール、IPレピュテーション、マルウェアプロテクション
AMFにおける役割
AMFメンバー
ルーターBの基本設定
機種
AT-AR4050S
LAN側(vlan10)IPアドレス
192.168.10.2/24
AMFにおける役割
AMFマスター
ルーターB上で動作するAMF Security miniアプリケーションインスタンスの設定
ストレージ
512MB
メモリー制限
768MB
CPUコアインデックス
1
DNSサーバー
192.168.10.1
インターフェースタイプ
Shared
ホストインターフェース
vlan10
IPアドレス
192.168.10.100/24
ゲートウェイ
192.168.10.1
AMF Security miniの設定
AMFマスターのIPアドレス
192.168.10.2
AMFマスターのユーザー名
manager
AMFマスターのパスワード
friend
AMFマスターとの事前共有鍵
password
AMF Security miniに登録するデバイスの認証情報
デバイス1
デバイス ID
デバイス1
MACアドレス
00:00:00:00:00:01
VLANアサイン
VLAN100
デバイス2
デバイス ID
デバイス2
MACアドレス
00:00:00:00:00:02
VLANアサイン
VLAN101
デバイス3
デバイス ID
デバイス3
MACアドレス
00:00:00:00:00:03
VLANアサイン
なし
スイッチの基本設定
想定機種
AT-x230-10GT
ホスト名
AMF-Member
vlan10 IPアドレス
192.168.10.3/24
ゲートウェイ
192.168.10.1
AMFにおける役割
AMFメンバー
AMFアクション
パケット破棄
本設定例ではルーターA、ルーターB、スイッチのログインアカウント(ユーザー名 / パスワード)としてデフォルトの「manager / friend」を使用していますが、実運用環境では各装置にてAMF用に権限レベル15のユーザーアカウントを別途作成し、管理接続に使用するユーザーアカウントと分けることをおすすめします。 設定開始前に
自動設定の確認と削除
本設定例に掲載されているコマンドは、設定がまったく行われていない本製品の初期状態(スタートアップコンフィグなしで起動した状態)から入力することを前提としています。erase startup-config を実行し、スタートアップコンフィグが存在しない状態で起動してから、設定を始めてください。
ネットワークケーブルを接続せずに起動する。 自動設定を手動で削除してから設定を行う。「自動的な設定内容の削除」 にしたがって、これらを手動で削除してから設定を開始してください。
自動設定が行われる条件などの詳細については、AMF応用編のAMFネットワーク未検出時の拡張動作 をご参照ください。システム時刻の設定
ログなどの記録日時を正確に保ち、各種機能を適切に動作させるため、システム時刻は正確にあわせて運用することをおすすめします。ルーターAの設定
LANポートにおいて初期状態で有効化されているスパニングツリープロトコル(RSTP)を無効化します。これにはspanning-tree enable コマンドをno形式で実行します。「L2スイッチング」/「スパニングツリープロトコル」 をご覧ください。no spanning-tree rstp enable
WANポートeth1上にPPPoEインターフェースppp0を作成します。これには、encapsulation ppp コマンドを使います。「PPP」/「一般設定」 をご覧ください。interface eth1
encapsulation ppp 0
PPPインターフェースppp0に対し、PPPoE接続のための設定を行います。ppp ipcp dns )keepalive )ip address negotiated )ppp username )ppp password )ip tcp adjust-mss )「PPP」/「一般設定」 をご覧ください。interface ppp0
ppp ipcp dns request
keepalive
ip address negotiated
ppp username user@isp
ppp password isppasswd
ip tcp adjust-mss pmtu
VLANを作成します。vlan database コマンドとvlan コマンドを使います。「L2スイッチング」/「バーチャルLAN」 をご覧ください。vlan database
vlan 10,100-101
LAN側インターフェースvlan10にIPアドレスを設定します。これにはip address コマンドを使います。「IP」/「IPインターフェース」 をご覧ください。int vlan10
ip address 192.168.10.1/24
vlan100にIPアドレスを設定します。int vlan100
ip address 192.168.100.1/24
vlan101にIPアドレスを設定します。int vlan101
ip address 192.168.101.1/24
AMFノード名(ホスト名)を設定します。これにはhostname コマンドを使います。hostname awplus-UTM-Router
AMFで使用するネットワーク名を設定します(atmf network-name )。「概要」 、「導入」 、「運用」 、「応用」 各解説編やコマンド編をご覧ください。atmf network-name AMF001
Webサーバー機能を有効にします。これにはservice http コマンドを使います。service http
AMFアプリケーションプロキシー機能を有効にします。これにはservice atmf-application-proxy コマンドを使います。service atmf-application-proxy
ファイアウォール、IPレピュテーション、マルウェアプロテクションのログを記録し、そのログメッセージをAMF Security mini(192.168.10.100)に送信する設定を行います。これにはlog コマンドを使います。log host 192.168.10.100
log host 192.168.10.100 level informational facility local5
スイッチと接続するLANポート1.0.1にAMFリンクの設定をします(switchport atmf-link )。switchport mode コマンドとswitchport trunk allowed vlan コマンドを使います。「L2スイッチング」/「バーチャルLAN」 をご覧ください。interface port1.0.1
switchport mode trunk
switchport trunk allowed vlan add 10,100-101
switchport atmf-link
ルーターBと接続するLANポート1.0.2にAMFリンクの設定をします。interface port1.0.2
switchport mode trunk
switchport trunk allowed vlan add 10
switchport atmf-link
LANポート1.0.3~1.0.8をそれぞれVLAN 10のタグなしポートに設定します。switchport access vlan コマンドを使います。interface port1.0.3-1.0.8
switchport access vlan 10
IPレピュテーション(IPアドレスブラックリスト)機能の設定を行います。ip-reputation 、provider 、category action 、protect の各コマンドを使います。「UTM」/「IPレピュテーション」 をご覧ください。ip-reputation
provider proofpoint
category CnC action deny
category Mobile_CnC action deny
category Bot action deny
category SpywareCnC action deny
category Mobile_Spyware_CnC action deny
category Drop action deny
protect
マルウェアプロテクション(ストリーム型アンチウイルス)機能の設定を行います。malware-protection 、provider kaspersky 、protect の各コマンドを使います。「UTM」/「マルウェアプロテクション(ストリーム型アンチウイルス)」 をご覧ください。malware-protection
provider kaspersky
protect
ファイアウォールやNATのルール作成時に使うエンティティー(通信主体)を定義します。「UTM」/「エンティティー定義」 をご覧ください。zone 、network 、ip subnet の各コマンドを使います。zone private
network lan
ip subnet 192.168.10.0/24
ip subnet 192.168.100.0/24
ip subnet 192.168.101.0/24
外部ネットワークを表すゾーン「public」を作成します。host 、ip address の各コマンドも使います。zone public
network wan
ip subnet 0.0.0.0/0 interface ppp0
host ppp0
ip address dynamic interface ppp0
外部からの通信を遮断しつつ、内部からの通信は自由に行えるようにするファイアウォール機能の設定を行います。firewall 、rule 、protect の各コマンドを使います。「UTM」/「ファイアウォール」 をご覧ください。firewall
rule 10 permit any from private.lan to private.lan
rule 20 permit any from private.lan to public
rule 30 permit dns from public.wan.ppp0 to public.wan
rule 40 permit https from public.wan.ppp0 to public.wan
protect
LAN側ネットワークに接続されているすべてのコンピューターがダイナミックENAT機能を使用できるよう設定します。nat 、rule 、enable の各コマンドを使います。「UTM」/「NAT」 をご覧ください。nat
rule 10 masq any from private to public
enable
DNSリレー機能を有効にします。これには、ip dns forwarding コマンドを使います。「IP付加機能」/「DNSリレー」 をご覧ください。ip dns forwarding
デフォルト経路をPPPインターフェースppp0に向けます。これにはip route コマンドを使います。「IP」/「経路制御」 をご覧ください。ip route 0.0.0.0/0 ppp0
以上で設定は完了です。end
スイッチの設定
初期状態で有効化されているスパニングツリープロトコル(RSTP)を無効化します。no spanning-tree rstp enable
AMFノード名(ホスト名)を設定します。hostname AMF-Member
AMFで使用するネットワーク名を設定します。atmf network-name AMF001
AMFアプリケーションプロキシー機能を有効にします。application-proxy whitelist advertised-address コマンドで設定を行ってください。service atmf-application-proxy
VLANを作成します。vlan database
vlan 10,100,101
vlan10にIPアドレスを設定します。interface vlan10
ip address 192.168.10.3/24
ルーターAと接続するポート1.0.1にAMFリンクの設定をします。interface port1.0.1
switchport mode trunk
switchport trunk allowed vlan add 10,100-101
switchport atmf-link
デバイスを接続するポート1.0.2~1.0.8をそれぞれvlan10のタグなしポートに設定します。interface port1.0.2-1.0.8
switchport access vlan 10
デバイスを接続するポートでAMFアプリケーションプロキシーホワイトリスト機能を有効にします。auth timeout quiet-period コマンドで設定を行ってください。 application-proxy whitelist enable
デバイスを接続するポートでAMFアプリケーションプロキシーホワイトリスト機能のセッションタイムアウトを有効にします。 auth session-timeout
デバイスを接続するポートで認証の動作モードをMulti-Supplicantモードに変更します。 auth host-mode multi-supplicant
デバイスを接続するポートでダイナミックVLANを有効にします。switchport mode コマンドのingress-filterパラメーターでdisableを指定)。application-proxy whitelist enable コマンドが無効(no application-proxy whitelist enable)の状態で行ってください。なお、すでに認証関連の設定を行っている場合は削除されるため再度設定を行ってください。 auth dynamic-vlan-creation type multi
AMFアプリケーションプロキシー機能でデバイスを遮断する際のアクションをパケット破棄に設定します。 application-proxy threat-protection drop
デフォルト経路を設定します。ip route 0.0.0.0/0 192.168.10.1
以上で設定は完了です。end
ルーターBの設定
ルーターBの設定は、CLIから行う部分 と GUIから行う部分 があります。ルーターB自身のWeb GUIから行う部分 と AMF Security miniの管理画面から行う部分 に分かれます。CLIからの設定
ルーターBでは、最初にCLIから基本的な設定を行います。
LANポートにおいて初期状態で有効化されているスパニングツリープロトコル(RSTP)を無効化します。これにはspanning-tree enable コマンドをno形式で実行します。「L2スイッチング」/「スパニングツリープロトコル」 をご覧ください。no spanning-tree rstp enable
VLANを作成します。vlan database コマンドとvlan コマンドを使います。「L2スイッチング」/「バーチャルLAN」 をご覧ください。vlan database
vlan 10
LAN側インターフェースvlan10にIPアドレスを設定します。これにはip address コマンドを使います。「IP」/「IPインターフェース」 をご覧ください。int vlan10
ip address 192.168.10.2/24
AMFノード名(ホスト名)を設定します。これにはhostname コマンドを使います。hostname AMF-Security-mini
AMFで使用するネットワーク名を設定します(atmf network-name )。「概要」 、「導入」 、「運用」 、「応用」 各解説編やコマンド編をご覧ください。atmf network-name AMF001
AMFマスター機能を有効にします。これにはatmf master コマンドを使います。atmf master
Webサーバー機能を有効にします。これにはservice http コマンドを使います。service http
AMF Security miniとのGUI連携機能を有効にします。これにはatmf topology-gui enable コマンドを使います。atmf topology-gui enable
AMFアプリケーションプロキシー機能を有効にします。これにはservice atmf-application-proxy コマンドを使います。service atmf-application-proxy
AMFアプリケーションプロキシーホワイトリスト機能で連携するAMF Security miniのIPアドレスと事前共有鍵を設定します。application-proxy whitelist server 192.168.10.100 key password
ルーターAと接続するLANポート1.0.1にAMFリンクの設定をします。「L2スイッチング」/「バーチャルLAN」 をご覧ください。interface port1.0.1
switchport mode trunk
switchport trunk allowed vlan add 10
switchport atmf-link
LANポート1.0.2~1.0.8をそれぞれVLAN 10のタグなしポートに設定します。switchport access vlan コマンドを使います。interface port1.0.2-1.0.8
switchport access vlan 10
デフォルト経路を設定します。これにはip route コマンドを使います。「IP」/「経路制御」 をご覧ください。ip route 0.0.0.0/0 192.168.10.1
以上で設定は完了です。end
GUIからの設定
CLIからの基本設定が完了したら、GUIからの設定に進みます。
ルーター自身のWeb GUIからAMF Security miniアプリケーションインスタンスの初期設定を行う AMF Security miniのWeb管理画面にログインしてデバイスの登録等を行う
AMF Security miniアプリケーションインスタンスの初期設定
AMF Security miniアプリケーションを使用するためには、最初にルーター自身のWeb GUIから同アプリケーションの初期設定を行う必要があります。「Web GUI」/「準備」の「Web GUIを使用するための準備」 を参照してGUIファイルをルーターBインストールしてください。「Web GUI」/「Vista Manager mini - AMF Security mini」 をご参照ください。
Webブラウザーを起動し、Web GUIアクセス用のIPアドレスに対応する https: URL を入力してください。「Web GUI」/「準備」 をご参照ください。https://192.168.10.2
メニュー欄のVista Manager miniからAMF Security miniを開きます。
画面右上のスイッチをクリックして、AMF Security miniアプリケーションの実行環境を有効にします。
「デプロイ済みアプリケーション一覧」の右端にある「有効化」ボタンをクリックします
「アプリケーション設定」ダイアログで以下の情報を変更あるいは選択/入力し「適用」ボタンをクリックします。
イメージバージョン: 本製品のフラッシュメモリーに転送したイメージを選択 ストレージサイズ (MB): 512を入力 詳細設定
メモリー制限 (MB): 768に変更 CPUコア制限 (コアインデックス): 1を入力
ネットワーク
「ネットワーク追加」をクリックし、下記のとおり選択、入力
ホストインターフェース: vlan10を選択 IPv4アドレス: 192.168.10.100/24を入力 ゲートウェイアドレス: 192.168.10.1を入力
「DNSサーバー追加」をクリックし、下記のとおり入力
DNSサーバー: 「192.168.10.1」を入力
他の項目はデフォルトのまま変更しないでください。
インスタンスの作成が行われインスタンスが実行中の状態になります。
AMF Security miniの設定
AMF Security miniのアプリケーションインスタンスが起動したら、同アプリケーションのWeb管理画面にログインしてデバイス登録などの設定を行います。
ログイン画面で「アカウント名」と「パスワード」を入力し、「OK」をクリックしてください。入力したパスワードは、「●」で表示されます。
初期設定の「アカウント名」は「manager」、「パスワード」は「friend」です。 タイムゾーンを設定します。
本設定を行うと設定を反映させるためにログアウトしますので、再度ログインしてください。 AMFマスターを登録します。
IPv4 アドレス:192.168.10.2 ユーザー名:manager パスワード:friend 事前共有鍵(PSK):password
デバイスにアサインするネットワーク(VLAN)を登録します。
ネットワーク ID:VLAN100 VLAN ID:100
ネットワーク ID:VLAN101 VLAN ID:101
デバイスを登録します。
デバイス ID: デバイス1 インターフェース:
MACアドレス: 00:00:00:00:00:01
ポリシー:
デバイス ID: デバイス2 インターフェース:
MACアドレス: 00:00:00:00:00:02
ポリシー: デバイス ID: デバイス3 インターフェース:
MACアドレス: 00:00:00:00:00:03
ポリシー:なし
ここではデバイス3にポリシー(割り当てをするネットワーク)を設定していません。このデバイスが認証されたときは、接続先スイッチポートに設定されているVLANの所属になります。
スイッチ(ホスト名「AMF-Member」)をAMFメンバーとして登録します。
ロケーション認証を行わない場合は、AMFメンバーの登録は必須ではありません。
AMFメンバーの管理はAMFメンバーのホスト名で行うため、名称はAMFメンバーのホスト名と同一にしてください。
ルーターAのUTM機能から送られてきた脅威情報のログにもとづいて自動的な対応動作を行うよう、トラップ監視設定を行います。
「このシステムのトラップ監視を有効にします。」のチェックボックスにチェックを入れる 「ホストアドレス」にルーターAのIPアドレス(192.168.10.1)を入力(設定されたIPアドレスからの通知のみを受信) 「AMF アクション」は「AMF 依存」を選択(スイッチ側で設定したアクションが適用される) 「トラップ監視対象 選択リスト」はすべてのチェックボックスにチェックを入れる
以上でAMF Security miniの設定は完了です。
設定の保存
■ 設定が完了したら、現在の設定内容を起動時コンフィグとして保存してください。これには、copy コマンドを「copy running-config startup-config awplus# copy running-config startup-config ↓
Building configuration...
[OK]
write file コマンド、write memory コマンドでも同じことができます。awplus# write memory ↓
Building configuration...
[OK]
「運用・管理」/「コンフィグレーション」 をご覧ください。ルーターAのコンフィグ
!
no spanning-tree rstp enable
!
interface eth1
encapsulation ppp 0
!
interface ppp0
ppp ipcp dns request
keepalive
ip address negotiated
ppp username user@isp
ppp password isppasswd
ip tcp adjust-mss pmtu
!
vlan database
vlan 10,100-101
!
int vlan10
ip address 192.168.10.1/24
!
int vlan100
ip address 192.168.100.1/24
!
int vlan101
ip address 192.168.101.1/24
!
hostname awplus-UTM-Router
!
atmf network-name AMF001
!
service http
!
service atmf-application-proxy
!
log host 192.168.10.100
log host 192.168.10.100 level informational facility local5
!
interface port1.0.1
switchport mode trunk
switchport trunk allowed vlan add 10,100-101
switchport atmf-link
!
interface port1.0.2
switchport mode trunk
switchport trunk allowed vlan add 10
switchport atmf-link
!
interface port1.0.3-1.0.8
switchport access vlan 10
!
ip-reputation
provider proofpoint
category CnC action deny
category Mobile_CnC action deny
category Bot action deny
category SpywareCnC action deny
category Mobile_Spyware_CnC action deny
category Drop action deny
protect
!
malware-protection
provider kaspersky
protect
!
zone private
network lan
ip subnet 192.168.10.0/24
ip subnet 192.168.100.0/24
ip subnet 192.168.101.0/24
!
zone public
network wan
ip subnet 0.0.0.0/0 interface ppp0
host ppp0
ip address dynamic interface ppp0
!
firewall
rule 10 permit any from private.lan to private.lan
rule 20 permit any from private.lan to public
rule 30 permit dns from public.wan.ppp0 to public.wan
rule 40 permit https from public.wan.ppp0 to public.wan
protect
!
nat
rule 10 masq any from private to public
enable
!
ip dns forwarding
!
ip route 0.0.0.0/0 ppp0
!
end
スイッチのコンフィグ
!
no spanning-tree rstp enable
!
hostname AMF-Member
!
atmf network-name AMF001
!
service atmf-application-proxy
!
vlan database
vlan 10,100,101
!
interface vlan10
ip address 192.168.10.3/24
!
interface port1.0.1
switchport mode trunk
switchport trunk allowed vlan add 10,100-101
switchport atmf-link
!
interface port1.0.2-1.0.8
switchport access vlan 10
!
application-proxy whitelist enable
!
auth session-timeout
!
auth host-mode multi-supplicant
!
auth dynamic-vlan-creation type multi
!
application-proxy threat-protection drop
!
ip route 0.0.0.0/0 192.168.10.1
!
end
ルーターBのコンフィグ
以下の設定以外にWeb GUIからAMF Security miniアプリケーションインスタンスの設定が必要です。また、AMF Security miniアプリケーションのWeb管理画面からも別途デバイス登録等の設定が必要です。 !
no spanning-tree rstp enable
!
vlan database
vlan 10
!
int vlan10
ip address 192.168.10.2/24
!
hostname AMF-Security-mini
!
atmf network-name AMF001
!
atmf master
!
service http
!
atmf topology-gui enable
!
service atmf-application-proxy
!
application-proxy whitelist server 192.168.10.100 key password
!
interface port1.0.1
switchport mode trunk
switchport trunk allowed vlan add 10
switchport atmf-link
!
interface port1.0.2-1.0.8
switchport access vlan 10
!
ip route 0.0.0.0/0 192.168.10.1
!
end
(C) 2015 - 2025 アライドテレシスホールディングス株式会社
PN: 613-002107 Rev.BF
