ファイアウォールのセットアップ

目次

ファイアウォールの初期設定

ファイアウォールの初期設定と、管理ツール(管理GUI・管理CLI)に接続するための設定を行います。

事前準備

初期設定では、専用グローバルネットワークに接続したサーバーを介して、ファイアウォールにログインする操作が含まれています。
あらかじめ以下の作業を済ませておいてください。

  • サーバーのグローバルネットワークを、ファイアウォールを接続する予定の「専用グローバルネットワーク」に切り替えます。
  • サーバーにログインし、サーバーのネットワーク設定を行います。
    選択予定の専用グローバルネットワークのNAT変換用設定に従って、サーバーのネットワーク設定を完了してください。

    NAT変換用設定

    サーバーのグローバルインターフェース設定

    無効

    専用グローバルネットワークのIPアドレスを設定

    有効

    お客様指定のプライベートネットワークのIPアドレスを設定

管理パスワードを設定する

コントロールパネルから管理ツール(管理GUI・管理CLI)のパスワードを設定します。
  1. コントロールパネル画面左メニューより「アプライアンス」の「ファイアウォール」をクリックします。
  2. ファイアウォール一覧から任意のファイアウォールを選択します。
  3. 設定 をクリックし、開いたメニューから「管理ユーザー設定」をクリックします。

  4. 管理ユーザーに設定するパスワードを入力し、 設定 をクリックします。

    Note

    ユーザー名は画面上に表示される内容を確認し、利用してください。


  5. 確認画面にて 実行 をクリックすると完了です。

以上でファイアウォールの管理パスワードの設定が完了しました。

専用グローバルネットワークとの接続設定

ファイアウォールと専用グローバルネットワークとの接続時に以下の2つの接続設定のどちらかを選択することができます。

  • 専用グローバルネットワークをインサイドネットワークに設定する

  • 専用グローバルネットワークをNAT変換用に設定する

選択した接続設定は、 接続解除か設定破棄 後に新規接続を行うことで、いつでも切り替えが可能です。

専用グローバルネットワークをインサイドネットワークに設定する

新規接続時に専用グローバルネットワークのNAT変換設定を無効として接続を行います。
接続を行うと、ファイアウォールのインサイドインターフェースに専用グローバルネットワークのゲートウェイアドレスがアタッチされ、専用グローバルネットワークを宛先、送信元とする通信をファイアウォールで制御できるようになります。
../../../_images/appliance_fw_gnw.png

  • NAT変換設定を無効とした専用グローバルネットワークと接続するサーバーのグローバルインターフェースには、専用グローバルネットワークのIPアドレスを設定します。

  • この接続設定ではロードバランサーをご利用いただけます。

  1. コントロールパネル画面左メニューより「アプライアンス」の「ファイアウォール」をクリックします。
  2. ファイアウォール一覧から任意のファイアウォールを選択します。
  3. 画面右下の 新規接続 をクリックします。

  4. 接続するネットワークを選択し、詳細設定で「専用グローバルネットワークをインサイドネットワークに設定する」を選択して 接続 をクリックします。

  5. 確認画面が表示されるので 実行 をクリックします。
  6. 画面左上に「初期設定中」とローディングアイコンが表示されるので、しばらく待ちます。

    Note

    設定には3-5分程度かかります。


  7. 初期設定が完了すると画面右下に「ネットワーク新規接続が完了しました。」と表示されます。

以上でファイアウォールと専用グローバルネットワークとの新規接続が完了しました。

専用グローバルネットワークをNAT変換用に設定する

新規接続時にプライベートIPアドレスを指定し、専用グローバルネットワークのNAT変換設定を有効として接続を行います。
接続を行うと、ファイアウォールのインサイドインターフェースにお客様指定のプライベートIPアドレスがアタッチされ、プライベートネットワークを宛先、送信元とする通信をファイアウォールで制御できるようになります。
../../../_images/appliance_fw_nat.png

  • NAT変換設定を有効とした専用グローバルネットワークと接続するサーバーのグローバルインターフェースには、お客様指定のプライベートネットワークのIPアドレスを設定します。

  • サーバーをインターネット側へ公開する際にはファイアウォール上でサーバーのプライベートIPアドレスと専用グローバルネットワークIPアドレスのNAT変換を行う必要があります。

  • この接続設定ではロードバランサーをご利用いただけません。

  1. コントロールパネル画面左メニューより「アプライアンス」の「ファイアウォール」をクリックします。
  2. ファイアウォール一覧から任意のファイアウォールを選択します。
  3. 画面右下の 新規接続 をクリックします。

  4. 接続するネットワークを選択し、詳細設定で「専用グローバルネットワークをNAT変換用に設定する」を選択して設定項目の入力後に 接続 をクリックします。
    設定項目

    インサイドIPアドレス - アクティブ
    インサイドインターフェースに割り当てるプライベートIPアドレスを入力
    このIPアドレスがインサイドネットワークのデフォルトゲートウェイとなります

    インサイドIPアドレス - スタンバイ

    インサイドインターフェースに割り当てるプライベートIPアドレスを入力

    インサイドIPアドレスのプレフィックス長

    /8 から /29 のいずれかを選択

    警告

    • この接続設定ではロードバランサーをご利用いただけません。

    • インサイドネットワークのネットワークアドレス、ブロードキャストアドレスとなるIPアドレスはご利用いただけません。

    • ご利用いただけない内容が含まれた状態で接続を行いますと、初期設定がエラーで終了し再実行を求められますのでご注意ください。


  5. 確認画面が表示されるので 実行 をクリックします。
  6. 画面左上に「初期設定中」とローディングアイコンが表示されるので、しばらく待ちます。

    Note

    設定には3-5分程度かかります。


  7. 初期設定が完了すると画面右下に「ネットワーク新規接続が完了しました。」と表示されます。

以上でファイアウォールと専用グローバルネットワークとの新規接続が完了しました。

管理ツール(管理GUI・管理CLI)のアクセス許可を設定する

サーバーを介してファイアウォールに接続し、コマンドラインで接続許可設定を行います。

重要

この手順は、以下の情報を例として記述しています。必ずお手元の環境情報に置き換えて実施してください。

  • サーバーOS: CentOS 7

  • ファイアウォール インサイドIPアドレス: 203.0.113.1

  • ファイアウォール アウトサイドIPアドレス: 198.51.100.5

  • 作業端末 グローバルIPアドレス: 192.0.2.1

  • 作業端末 サブネットマスク: 255.255.255.255

  1. コントロールパネルから、ファイアウォールを「専用グローバルネットワーク」に接続します。
  2. つづいて、サーバーの「 コンソール 」を使用し、サーバーにログインします。
  3. サーバーを介し、ファイアウォールのインサイドインターフェースにssh接続するコマンドを実行します。
    ssh [管理ユーザー]@203.0.113.1

  4. ユーザEXECモードを「特権EXECモード」に変更するコマンドを実行します。
    enable

  5. 特権EXECモードを「グローバルコンフィギュレーションモード」に変更するコマンドを実行します。
    configure terminal

  6. アウトサイドインターフェースで接続元となる端末のIPアドレスを許可するコマンドを実行します。
    管理GUIでの接続を許可する場合はhttpを、管理CLIでの接続を許可する場合はSSHを指定します。
    • コマンド書式
      http [IP アドレス] [サブネットマスク] outside
ssh [IP アドレス] [サブネットマスク] outside
    • コマンド例
      http 192.0.2.1 255.255.255.255 outside
ssh 192.0.2.1 255.255.255.255 outside

  7. 「exit」コマンドでグローバルコンフィギュレーションモードから特権EXECモードに変更します。
    exit

  8. 「exit」コマンドでファイアウォールからログアウトし、コンソール画面を閉じます。
    exit
以上でファイアウォールの接続元ネットワークの許可設定が完了しました。
つづいて、 管理ツール(管理GUI・管理CLI)を用いて設定操作を行います。 オペレーションマニュアル へ進んでください。