第8回　セキュリティ設定方法

こんにちは。ダイワボウ情報システム ネットワークセキュリティ担当の中です。

本コラムでは、これからVersa Networks 製品の導入を検討されている方や、お取り扱いを始めたばかりの方に向けて、役立つ情報をわかりやすくご紹介していきます。

第8回となる今回は、「セキュリティ」設定方法のファイアウォールルールの設定について画面キャプチャを交えながらご紹介させていただきます。ぜひ最後までご覧ください。

ファイアウォールの設定は専門性が高く、操作や設定が難しいという印象を持たれがちですが、Versa 製品ではそのような課題を感じることなく、簡単に設定を行うことが可能です。
例えば、設定はクリックベースで行うことができ、日本語にも対応しているため、初めて利用する場合でもスムーズに操作できます。また、管理画面はシンプルな構成で、必要な情報を容易に把握できる点も大きな特長です。

さらに、IPアドレスやポート番号だけでなく、アプリケーションやユーザー、グループ単位（LDAPサーバーが必要）での制御に対応しており、実際の業務に応じた柔軟なファイアウォール設計が行えます。

今回は、このような構成となるよう設定していきます。

CSG配下のVLAN10クライアントからSASE-GWへの接続を拒否します。
VLAN20は拒否の設定を行わないので接続可能です。

VLAN10とVLAN20を作成し、VLAN10をポート3にVLAN20をポート4に割り当てます。VLAN設定方法の詳しくは第７回 Versa コラムをご参照ください。

①Port3に接続し、自身のアドレスを確認します。②SASE-GWへの疎通確認を行います。

通信ができることを確認します。

①Port4に接続し、自身のアドレスを確認します。②SASE-GWへの疎通確認を行います。

通信ができることを確認します。

設定前は共に通信ができることを確認します。

今回はCSG配下のVLAN10クライアントからSASE-GWへの接続を拒否します。デフォルト設定では、LAN側から発生する全ての通信が許可されているので注意が必要です。
以降の手順でファイアウォールルールの設定を行います。
設定対象のサイトにカーソルを合わせて、「設定」をクリックします。

①「セキュリティ」のタブをクリックします。②「セキュリティポリシー」をクリックします。

①ファイアウォールポリシーの「ファイアウォールルール」をクリックします。

①「ルール」をクリックします。

以降の手順でVLAN10(IRB10)からSASE-GW01への接続を拒否するファイアウォールルールを作成します。

①ルール名に「Deny_IRB10_to_SASE01」を入力し、②「アドレス」をクリックします。③「ソース(0)」をクリックします。

①IBR10のセグメント「172.17.10.0/24」を入力します。②「次」をクリックします。

①「ディスティネーション（0）」をクリックして、

①SASE-GW01のIPを入力します。②「次」をクリックします。

①アクションは「拒否（Deny）」を選択し、②「追加」をクリックします。

①新たにルールが追加されている事を確認後、②「適用」をクリックします。

「今すぐ適用」をクリックします。

①Port3に接続し、自身のアドレスを確認します。②SASE-GWへの疎通確認を行います。

通信ができないことを確認します。

①Port4に接続し、自身のアドレスを確認します。②SASE-GWへの疎通確認を行います。

通信ができることを確認します。

設定後のVLAN10はSASE-GWと通信ができないことを確認します。
VLAN20はファイアウォールルールの設定を行っていないので、通信が可能です。

今回は、「セキュリティ」のファイアウォールの設定についてご紹介いたしました。

実際にVersa のファイアウォール設定を行ってみて、ルール作成から適用までを簡単に実施でき、すぐに反映できる点が便利だと感じました。
Versa のファイアウォールでは、対応しているアプリケーション数も現在 4,800 以上の種類があり、非常に豊富です。こうしたアプリケーション識別の細かさも、Versa の大きな特長の一つと言えます。設定を行う際は、ぜひご参考ください。

最後までご覧いただきありがとうございました。