Web GUI / セキュリティー
セキュリティーメニュー配下の各画面では、下記機能の情報確認と設定が行えます。各機能の詳細は、該当機能の解説ページをご参照ください。
エンティティー
エンティティー定義の作成、編集と確認が行えます。詳細は「UTM」/「エンティティー定義」をご覧ください。
次はデフォルトのグリッド形式表示の例です。
| 定義済みエンティティーの一覧をグリッド形式で表示します。エンティティー管理画面を開いたときはこの形式で表示されます |
| 定義済みエンティティーの一覧をリスト形式で表示します。 |
| ゾーン追加ボタン | 新規ゾーンを追加するゾーン追加ダイアログが開きます |
| x ゾーン y ネットワーク z ホスト | 定義済みのゾーン数(x)、ネットワーク数(y)、ホスト数(z)が表示されます |
次にリスト形式表示の例を示します。
| ∨ すべて展開する | リストの全項目を展開し、ゾーン>ネットワーク>ホストのすべての階層が表示された状態にします |
| ∧ すべて折りたたむ | リストの全項目を折りたたみ、トップレベルのゾーン名のみが表示された状態にします |
| ∨ | ゾーン、ネットワーク、ホスト項目右側の下向き矢印をクリックすると、該当項目が展開され、該当項目の内容や下位項目が表示されます |
| ∧ | ゾーン、ネットワーク、ホスト項目右側の上向き矢印をクリックすると、該当項目が折りたたまれ、該当項目の内容や下位項目が表示されなくなります |
これ以降の説明はデフォルトのグリッド形式表示を前提としていますが、リスト形式表示でも基本的な表示項目や操作方法は同じです。
ゾーン
エンティティー管理画面の初期状態では定義済みゾーンの一覧が表示されます。
| (Z) dmz(例) | ゾーンの名前が表示されます |
| 編集ボタン | ゾーンの削除を行うためのダイアログが開きます |
| X ネットワーク | ゾーンに所属するネットワークの数(X)が表示されます |
| ネットワーク追加ボタン | 該当ゾーンにネットワークを追加するためのネットワーク追加ダイアログが開きます |
| (N) servernet Xホスト > | ゾーンに所属するネットワークの名前(例ではservernet)と該当ネットワークに所属するホストの数(X)が表示されます。右向き矢印をクリックすると、該当ネットワークの情報に表示が切り替わります。 |
ネットワーク
さらに、ネットワーク名見出しの左側に表示されている左向き矢印をクリックすると、該当ネットワークが所属しているゾーンの情報に表示が切り替わります。
| < (N) servernet(例) | ネットワークの名前が表示されます。左向き矢印をクリックすると、該当ネットワークが所属しているゾーンの情報に表示が切り替わります |
| 編集ボタン | ネットワークの編集(ネットワークの名前変更と削除、サブネットの追加、削除)を行うためのダイアログが開きます |
| X ホスト | 該当ネットワークに所属するホストの数(X)が表示されます |
| ホスト追加ボタン | 該当ネットワークにホストを追加するためのホスト追加ダイアログが開きます |
| IP | ネットワークに関連付けられているサブネットのネットワークアドレスが表示されます |
| インターフェース | ネットワークに関連付けられているサブネットの存在するインターフェースが表示されます |
| (H) ホスト > | 右向き矢印をクリックすると、ホスト定義一覧に表示が切り替わります。 |
ホスト
ネットワークに所属するホスト定義の一覧が表示されます。ここから、「ホスト」見出しの左側に表示されている左向き矢印をクリックすると、該当ホストが所属しているネットワークの情報に表示が切り替わります。
| < (H) ホスト | 左向き矢印をクリックすると、該当ホストが所属しているネットワークの情報に表示が切り替わります |
| 編集ボタン | ホスト一覧の編集(ホストの追加、削除)を行うためのホスト編集ダイアログが開きます |
| web(例) | ホストの名前が表示されます |
| IP | ホストのIPアドレスが表示されます |
エンティティー定義の作成手順
エンティティー定義の作成は次の流れで行います。- トップレベルの「ゾーン」を作成します。
- ゾーン内に「ネットワーク」を作成し、サブネットアドレスを関連付けます。
- ネットワーク内に「ホスト」を作成します。
次に基本的なエンティティー定義作成手順の例を示します。
- ゾーン作成
- エンティティー管理ページの「ゾーン追加」ボタンをクリックします。
- 「ゾーン追加」ダイアログが表示されますので、ゾーン名を入力し、「適用」ボタンをクリックしてください。
新規ゾーン 追加するゾーンの名前を入力してください。64文字以内。半角英数字とハイフン(-)、アンダースコア(_)を使用可能です キャンセルボタン 新規ゾーンを追加せずに前の画面に戻ります 適用ボタン 新規ゾーンを追加して前の画面に戻ります
- エンティティー管理ページの「ゾーン追加」ボタンをクリックします。
- ネットワーク作成
- 追加されたゾーンの「ネットワーク追加」ボタンをクリックします。
- 「ネットワーク追加」ダイアログが表示されますので、ネットワーク名を入力し、「IPv4サブネットアドレス」欄の「+ サブネット追加」をクリックします。
サブネット情報の入力欄が追加されますので、サブネットアドレスとインターフェースを入力、選択してください。
複数のサブネットアドレスを関連付けたい場合は、「サブネット追加」を繰り返しクリックすることで必要な数だけ入力欄を追加できます。
すべての欄に入力しおわったら「保存」ボタンをクリックしてください。
名称 追加するネットワークの名前を入力してください。64文字以内。半角英数字とハイフン(-)、アンダースコア(_)を使用可能です IPv4サブネットアドレス ネットワークに関連付けるサブネットを指定します。右側の下向き矢印をクリックして「+ サブネット追加」をクリックし、該当ネットワークを構成するサブネットのネットワークアドレスと同サブネットが存在するインターフェースを指定してください IPv4 GeoIP GeoIPデータベースをもとにIPv4サブネットアドレスを動的に更新するネットワークを指定します IPv6 GeoIP GeoIPデータベースをもとにIPv6サブネットアドレスを動的に更新するネットワークを指定します キャンセルボタン 新規ネットワークを追加せずに前の画面に戻ります 保存ボタン 新規ネットワークを追加して前の画面に戻ります
- 追加されたゾーンの「ネットワーク追加」ボタンをクリックします。
- ホスト作成
- 追加されたネットワーク名の右側に表示されている右向き矢印をクリックします。
- 追加されたネットワーク内の「ホスト追加」ボタンをクリックします。
- 「ホスト追加」ダイアログが表示されますので、ホスト名とIPアドレスを入力し、「保存」ボタンをクリックしてください。
名称 定義済みホストの場合は該当ホストの名前が表示されます。
また「ホスト追加」で追加した入力欄には、追加するホストの名前を入力してください。64文字以内。半角英数字とハイフン(-)、アンダースコア(_)を使用可能ですIPv4インターフェース 特定のインターフェースをIPv4ホストとして動的に登録したい場合に指定します IPv6インターフェース 特定のインターフェースをIPv6ホストとして動的に登録したい場合に指定します IPv4/IPv6アドレス 追加するホストのIPv4/IPv6アドレスを入力してください。このIPアドレスは上位ネットワークに関連付けたサブネットアドレスの範囲内でなくてはなりません IPv4ホストのFQDN(ドメイン名) IPv4ホストをFQDN(ドメイン名)で登録したい場合に指定します IPv6ホストのFQDN(ドメイン名) IPv6ホストをFQDN(ドメイン名)で登録したい場合に指定します MACアドレス 指定したMACアドレスをホストとして登録したい場合に指定します キャンセルボタン ホスト一覧を変更せずに(本ダイアログで追加したり削除した内容を保存せずに)前の画面に戻ります 保存ボタン ホスト一覧を変更して(本ダイアログで追加したり削除した内容を保存して)前の画面に戻ります
- さらにホストを追加する場合は、「(H) ホスト」の右側に表示されている右向き矢印をクリックします。
- ホスト定義の一覧画面が表示されたら「編集」ボタンをクリックしてください。
- 「ホスト編集」ダイアログが表示されますので、「ホスト追加」をクリックします。
ホスト情報の入力欄が追加されますので、追加するホストの名称とIPアドレスを入力してください。
複数のホストを追加したい場合は、「ホスト追加」を繰り返しクリックすることで必要な数だけ入力欄を追加できます。
また、「削除」をクリックすることで既存あるいは追加中のホストを削除することもできます。
必要なホストの追加(および削除)が完了したら「保存」ボタンをクリックしてください。
名称 定義済みホストの場合は該当ホストの名前が表示されます。
また「ホスト追加」で追加した入力欄には、追加するホストの名前を入力してください。64文字以内。半角英数字とハイフン(-)、アンダースコア(_)を使用可能ですゴミ箱ボタン 該当ホストの定義を削除します IPv4インターフェース 特定のインターフェースをIPv4ホストとして動的に登録したい場合に指定します IPv6インターフェース 特定のインターフェースをIPv6ホストとして動的に登録したい場合に指定します IPv4/IPv6アドレス 追加するホストのIPv4/IPv6アドレスを入力してください。このIPアドレスは上位ネットワークに関連付けたサブネットアドレスの範囲内でなくてはなりません IPv4ホストのFQDN(ドメイン名) IPv4ホストをFQDN(ドメイン名)で登録したい場合に指定します IPv6ホストのFQDN(ドメイン名) IPv6ホストをFQDN(ドメイン名)で登録したい場合に指定します MACアドレス 指定したMACアドレスをホストとして登録したい場合に指定します キャンセルボタン ホスト一覧を変更せずに(本ダイアログで追加したり削除した内容を保存せずに)前の画面に戻ります 保存ボタン ホスト一覧を変更して(本ダイアログで追加したり削除した内容を保存して)前の画面に戻ります
これで、ゾーン>ネットワーク>ホストとつながる一連のエンティティー定義を追加できました。
- 追加されたネットワーク名の右側に表示されている右向き矢印をクリックします。
アプリケーション
アプリケーション定義の作成、編集と確認が行えます。詳細は「UTM」/「アプリケーション定義」をご覧ください。
ファイアウォール
ファイアウォール機能のオン、オフとルールの作成、編集、確認が行えます。詳細は「UTM」/「ファイアウォール」をご覧ください。
NAT
NAT機能のオン、オフとルールの作成、編集、確認が行えます。詳細は「UTM」/「NAT」をご覧ください。
QoS
QoS機能のオン、オフとルールの作成、編集、確認が行えます。詳細は「トラフィック制御」/「Quality of Service」をご覧ください。
侵入防御
侵入防御(IPS)機能のオン、オフとアクションの設定、確認が行えます。詳細は「UTM」/「侵入防御(IPS)」をご覧ください。
カスタムURLフィルター
URLフィルター機能のオン、オフとホワイトリスト、ブラックリストファイルの指定、確認が行えます。詳細は「UTM」/「URLフィルター」をご覧ください。
IPsec
IPsec/ISAKMPプロファイルの作成と内容確認、ISAKMPピアごとのパスワード設定およびISAKMPプロファイル関連付け、IPsec SA/ISAKMP SAの確認が行えます。
IPsecプロファイル
「IPsecプロファイル」タブには、IPsec通信の各種パラメーターを定義する設定要素「IPsecプロファイル」の一覧が表示されます。
| 名称 | IPsecプロファイル名が表示されます |
| リプレイ防止ウィンドウ | リプレイ防止ウィンドウサイズが表示されます |
| 有効期間 (秒) | IPsec SAの有効期間が表示されます |
| トランスフォーム | 使用するトランスフォーム(暗号化アルゴリズム、認証アルゴリズムの組み合わせ)が表示されます |
| プロファイル追加ボタン | IPsecプロファイルを追加するためのプロファイル追加ダイアログが開きます |
| 削除ボタン | IPsecプロファイルを削除します。削除前には確認のダイアログが表示されます。 ※デフォルトIPsecプロファイル「default」は削除できません |
プロファイル追加(IPsec)
IPsecプロファイルを新規追加するためのダイアログです。
| プロファイル名 | IPsecプロファイル名を入力してください。64文字以内。半角英数字とハイフン(-)、アンダースコア(_)を使用可能です |
| リプレイ防止ウィンドウ | リプレイ防止ウィンドウサイズ(replay-window)を1~1024の範囲内で入力してください。 ※ウィンドウサイズの拡大はリスクをともなうため十分な事前検討が必要です。詳しくはreplay-windowコマンドの注意・補足事項をご覧ください |
| 有効期間 (秒) | IPsec SAの有効期間(lifetime)を入力してください |
| トランスフォーム | 使用するトランスフォーム(暗号化アルゴリズム、認証アルゴリズムの組み合わせ)(transform)を指定します。 右側の下向き矢印をクリックして「+ トランスフォーム追加」をクリックし、認証アルゴリズムと暗号化アルゴリズムを選択してください。トランスフォームは複数指定できます |
| キャンセルボタン | IPsecプロファイルを追加せずに一覧画面に戻ります |
| 適用ボタン | IPsecプロファイルを追加して一覧画面に戻ります |
ISAKMPプロファイル
「ISAKMPプロファイル」タブには、ISAKMP通信の各種パラメーターを定義する設定要素「ISAKMPプロファイル」の一覧が表示されます。
| 名称 | ISAKMPプロファイル名が表示されます |
| 自装置の認証方式 | 自装置の認証方式(対向装置から認証を受けるときの方式)が表示されます |
| 対向装置の認証方式 | 対向装置の認証方式(対向装置を認証するときの方式)が表示されます |
| 設定提供元 | 対向装置(クライアント)に設定属性(IPアドレスなど)を通知する場合の情報源が表示されます |
| トラストポイント | 証明書認証に使用するトラストポイントが表示されます |
| 有効期間 (秒) | ISAKMP SAの有効期間が表示されます |
| DPDキープアライブ送信間隔 | DPD(Dead Peer Detection)キープアライブパケットの送信間隔が表示されます |
| トランスフォーム | 使用するトランスフォーム(暗号化アルゴリズム、認証アルゴリズム、Diffie-Hellman(DH)グループの組み合わせ)が表示されます |
| プロファイル追加ボタン | ISAKMPプロファイルを追加するためのプロファイル追加ダイアログが開きます |
| 削除ボタン | ISAKMPプロファイルを削除します。削除前には確認のダイアログが表示されます ※デフォルトISAKMPプロファイル「default」は削除できません |
プロファイル追加(ISAKMP)
ISAKMPプロファイルを新規追加するためのダイアログです。
| プロファイル名 | ISAKMPプロファイル名を入力してください。64文字以内。半角英数字とハイフン(-)、アンダースコア(_)を使用可能です |
| 自装置の認証方式 | 自装置の認証方式(対向装置から認証を受けるときの方式)(local authentication)を選択してください |
| 対向装置の認証方式 | 対向装置の認証方式(対向装置を認証するときの方式)(remote authentication)を選択してください |
| 設定提供元 | RADIUSサーバーから得た情報にもとづき、設定属性(IPアドレスやDNSサーバーアドレス)を対向装置(クライアント)に通知する場合は「RADIUS」を選択してください |
| トラストポイント | 証明書認証に使用するトラストポイントを指定してください。64文字以内。半角英数字とハイフン(-)、アンダースコア(_)を使用可能です |
| 有効期間 (秒) | ISAKMP SAの有効期間(lifetime)を入力してください |
| DPDキープアライブ送信間隔 | DPD(Dead Peer Detection)キープアライブパケットの送信間隔(dpd-interval)を入力してください |
| トランスフォーム | 使用するトランスフォーム(暗号化アルゴリズム、認証アルゴリズム、Diffie-Hellman(DH)グループの組み合わせ)(transform)を指定します。 右側の下向き矢印をクリックして「+ トランスフォーム追加」をクリックし、認証アルゴリズム、暗号化アルゴリズム、DHグループを選択してください。トランスフォームは複数指定できます |
| キャンセルボタン | ISAKMPプロファイルを追加せずに一覧画面に戻ります |
| 適用ボタン | ISAKMPプロファイルを追加して一覧画面に戻ります |
ISAKMPピア
「ISAKMPピア」タブには、ISAKMPピアとISAKMPプロファイルの関連付け(ISAKMPピアとの通信にどのISAKMPプロファイルを使用するか)が一覧表示されます。
| 名称 | ISAKMPプロファイルの適用対象となるISAKMPピアが表示されます |
| 種類 | 名称欄の種類(指定方式)が表示されます |
| ISAKMPプロファイル | ISAKMPピアとの通信で使用するISAKMPプロファイルが表示されます |
| ダイナミック(アドレス不定)ピアボタン | IPアドレスが不定なピアとの通信に使用するISAKMPプロファイルを指定するためのダイナミック(アドレス不定)ピアダイアログが開きます |
| ピア追加ボタン | アドレス/ホスト名が決まっているピアとの通信、あるいは特定のトンネルインターフェース経由の通信で使用するISAKMPプロファイルを指定するためのピア追加ダイアログが開きます |
| 削除ボタン | ISAKMPピアとISAKMPプロファイルの関連付けを削除します。削除前には確認のダイアログが表示されます |
ダイナミック(アドレス不定)ピア
IPアドレスが不定なピアとの通信に使用するISAKMPプロファイルを指定するためのダイアログです。
| ISAKMPプロファイル | IPアドレスが不定なピアとの通信に使用するISAKMPプロファイルを選択してください |
| キャンセルボタン | IPアドレスが不定なピアとISAKMPプロファイルの関連付けを追加せずに一覧画面に戻ります |
| 適用ボタン | IPアドレスが不定なピアとISAKMPプロファイルの関連付けを行い一覧画面に戻ります |
ピア追加
アドレス/ホスト名が決まっているピアとの通信、あるいは特定のトンネルインターフェース経由の通信で使用するISAKMP認証パスワードとISAKMPプロファイルを指定するためのダイアログです。
| 名称 | ISAKMPプロファイルの適用対象となるISAKMPピアを「ピア指定方法」欄で指定した形式で入力してください |
| ピア指定方法 | 「名称」の指定方法(入力形式)を次から選択してください。 ・ホスト名 - ISAKMPピアをホスト名で指定します ・アドレス - ISAKMPピアをIPv4/IPv6アドレスで指定します ・ユーザー付きホスト名 - ISAKMPピアを「ユーザー@ホスト名」の形式で指定します ・トンネルインターフェース名 - トンネルインターフェース名を指定します(該当インターフェース上の通信すべてに指定したISAKMPプロファイルを使います) |
| ISAKMPプロファイル | 「名称」、「ピア指定方法」欄で指定したISAKMPピアとの通信で使用するISAKMPプロファイルを選択してください |
| 認証パスワード形式 | 該当ピアとの通信で使用する認証パスワードの形式を選択してください |
| 認証パスワード | 該当ピアとの通信で使用するISAKMPの認証パスワードを6~79文字で入力してください |
| キャンセルボタン | ISAKMPピアとISAKMPプロファイルの関連付けを追加せずに一覧画面に戻ります |
| 適用ボタン | ISAKMPピアとISAKMPプロファイルの関連付けを追加して一覧画面に戻ります |
IPsec SA
現在確立中のIPsec SAが一覧表示されます。
| SPI | IPsec SAの識別子であるSPI(Security Parameter Index)が表示されます |
| トラフィックセレクター | IPsec保護の対象範囲を表すトラフィックセレクターが表示されます |
| ピア | IPsecピア(IPsec SA対向装置)が表示されます |
| ポリシー名 | トンネルインターフェース名が表示されます |
| モード | IPsec動作モード(トンネル、トランスポート)が表示されます |
| プロトコル | IPsecプロトコルが表示されます |
| 認証アルゴリズム | 認証アルゴリズムが表示されます |
| 暗号化アルゴリズム | 暗号化アルゴリズムが表示されます |
| 有効期間 (秒) | IPsec SAの有効期間が表示されます |
ISAKMP SA
現在確立中のISAKMP SAが一覧表示されます。
| クッキー | ISAKMP SAの識別子であるクッキーが表示されます |
| ピア | ISAKMPピア(ISAKMP SA対向装置)が表示されます |
| ポリシー名 | トンネルインターフェース名が表示されます |
| IKEバージョン | IKEバージョンが表示されます |
| 認証 | 認証方式が表示されます |
| 認証アルゴリズム | 認証アルゴリズムが表示されます |
| 暗号化アルゴリズム | 暗号化アルゴリズムが表示されます |
| 有効期間 (秒) | ISAKMP SAの有効期間が表示されます |
| 状態 | ISAKMP SAの状態が表示されます |