お客さまサポート

仮想UTMマニュアル ~ファイアウォールポリシー

Avatar
コンタクトセンター
  • 更新
フォローする
本ページでは、IndigoProのオプションサービス「仮想UTM」にて提供するFortiGateの基本的な操作手順について案内しています。他の操作手順や目次についてはこちらをご確認ください。

ファイアウォールポリシー

ファイアウォールポリシーは、FortiGateユニットを通過するトラフィックを、FortiGateインターフェイス間で制御します。
・Incoming(外部からの仮想サーバー)の通信
・Outgoing(仮想サーバーから外部)の通信
トラフィックは、ファイアウォールポリシーリストの最上位にあるものから下位の項目へと順番に評価されます。一致するポリシーが検出されると、そのポリシーで指定された処理が行われ、以降のファイアウォールポリシーは適用されません。
許可ポリシーに一致しなかったトラフィックは拒否されます。(暗黙の拒否)

ファイアウォールポリシーの表示方法

「ポリシー&オブジェクト」 > 「ファイアウォールポリシー」 をクリックすると、ファイアウォールポリシーが表示されます。
FW表示設定.png

プリセットされているファイアウォールポリシー

初期状態のファイアウォールポリシーは次のように設定しています。

■Incoming(外部から仮想サーバー)の通信
①NTTPC:ポート監視サーバーの通信を許可(ポート監視サービスを利用するために必要)
②Preset2~7:サンプルとなるプリセットのファイアウォールポリシー(ステータス:無効)
preset2:オフィス等からSSH(TCP/22)接続を許可する際に使用
preset3:オフィス等からリモートデスクトップ(TCP/3389)接続を許可する際に使用
preset4:DNS(TCP,UDP/53)サーバーを構築した際に使用
preset5:HTTP(TCP/80)サーバーを構築した際に使用
preset6:HTTPS(TCP/443)サーバーを構築した際に使用
preset7:メールサーバー(※)を構築した際に使用
(※)POP3(TCP/110)、SMTP(TCP/25)、SMTP_SUBMISSION(TCP/587)、IMAP(TCP/143)
ポリシーIncoming.png

■Outgoing(仮想サーバーから外部)の通信
③preset1:仮想サーバーから外部への通信はすべて許可
ポリシーOutgoing.png

ファイアウォールアドレス

ファイアウォールアドレスは、ファイアウォールポリシーに使用するアドレスです。
初期で登録されているファイアウォールアドレスは次のとおりです。
※初期登録されているアドレスの一部です

NTTPC_Port_monitoring NTTPCポート監視サーバーで使用しているため変更しないでください

OfficeA

 仮想サーバーにアクセスする拠点のアドレスを登録(※1)
OfficeB 仮想サーバーにアクセスする上記とは別の拠点があれば登録(※1)

(※1)初期で指定しているIPアドレスは、RFCで定義されている例示用のIPアドレス(192.0.2.0/24 , 198.51.100.0/24 , 203.0.113.0/24)となりますので、設定の際はお客さま環境に応じて指定してください。

ファイアウォールアドレスの登録

  1. IPアドレスを新しく登録する場合は「アドレス」を新規作成します。
    「新規作成」をクリックし「アドレス」を選択します。
    アドレス4.png
  2. お客さまのオフィス拠点名等わかりやすい名前を指定してください。
    (例)名前:Office_Osaka
    IP/ネットマスク:203.0.113.41/32
  3. 内容を確認し「OK」をクリックします。

ファイアウォールアドレスの変更

ファイアウォールアドレスの変更方法の手順となります。
こちらでは例として、プリセットされているファイアウォールポリシーを使用し、オフィス等、仮想サーバーにアクセスする拠点からのみSSH(TCP/22)接続を許可します。
本設定のほかに、仮想サーバー側での設定も必要となります。詳細は「SSHによるサーバー管理」をご確認ください。

  1. ファイアウォールアドレス設定画面表示
    「ポリシー&オブジェクト」 > 「アドレス」をクリックします。
    アドレス1.png
  2. プリセットのアドレス変更
    プリセットのアドレス「Office_A」を右クリックし「編集」を選択し、名前とアドレスを変更します。
    アドレス2.png
  3. お客さまのオフィス拠点名等わかりやすい名前を指定した後、内容を確認し「OK」をクリックします。
    (例)名前:「Office_A」から「Office_Tokyo」と変更 
    アドレス:203.0.113.40/29と変更
    アドレス6.png

ファイアウォールアドレスグループ

ファイアウォールポリシーに使用するアドレスグループです。ファイアウォールアドレスをグループでまとめることができます。

ファイアウォールアドレスグループの変更

登録した「アドレス」を「ファイアウォールアドレスグループ」でグループ化します。
この手順では例として、プリセットのアドレスグループ「Office_Group」の編集を行います。

  1. アドレスグループ編集
    「ポリシー&オブジェクト」 > 「アドレス」の上部メニューの「Address Group」を選択します。
    アドレスグループ1.png
  2. 「Office_Group」を右クリックし、「編集」をクリックします。
    アドレスグループ2.png
    • アドレスグループから除外する場合
      「メンバ」をクリックすると画面右側にアドレス一覧が表示されます。「Office_A」のみ使用する場合は、メンバの「Office_B」の右側の✕をクリックして削除します。「Office_B」が削除されていることを確認し、「OK」をクリックします。
      アドレスグループ3.png
    • アドレスグループに追加する場合
      新たなアドレスをグループに追加する場合は、「+」をクリックし、右側のエントリから対象アドレスを選択します。
      色が反転し、メンバが加わったことを確認し、「OK」をクリックします。
      アドレスグループ4.png

ファイアウォールポリシーの有効化・無効化

ファイアウォールポリシーの有効化

ファイアウォールポリシーを使用するには、ポリシーを有効化する必要があります。
この手順では例として、preset2:オフィス等からSSH(TCP/22)接続を許可するポリシーを有効化し、サーバーへのSSH通信を許可します。

  1. IPv4ポリシーの選択
    「ポリシー&オブジェクト」 > 「ファイアウォールポリシー」をクリックします。
    ポリシー有効化1.png
  2. プリセットポリシーの確認
    プリセットされている「preset 2」を確認します。 
    送信元:「Office_Group」(お客さまのオフィス)
    送信先:「SuitePRO_NW」(お客さまの仮想サーバーが属しているネットワークアドレス)
    サービス:「SSH」
    アクション:「ACCEPT」

    ポリシー有効化2.png

  3. ステータスポリシーの変更
    対象ID「2」を選択し、「有効」をクリックします。
    ポリシー有効化3.png
  4. 有効化の確認
    ID横の✕が消え、ポリシーが有効化されたことを確認してください
    ポリシー有効化4.png

ファイアウォールポリシーの無効化

有効化したポリシーを無効化する場合はステータスを無効に変更します。
以下手順では例として、preset2:オフィス等からSSH(TCP/22)接続を許可するポリシーを無効化し、サーバーへのSSH通信許可を取り消します。

  1. ポリシーの無効化
    対象のIDを右クリックし、「ステータス」 > 「無効」をクリックします。
    ポリシー無効化1.png
  2. 無効化の確認
    ID横に✕が追加され、無効化されたことを確認してください。
    ポリシー無効化2.png
この記事は役に立ちましたか?
0人中0人がこの記事が役に立ったと言っています
ページの先頭へ戻る

お問い合わせ

お問い合わせの前にご利用サービスの状況をご確認ください

お知らせ 工事・故障情報

お問い合わせ
ピックアップコンテンツ
サービスラインアップ
お客さまサポート
コーポレートサイト