特定の宛先IPアドレス、宛先ポート番号を拒否(ブラックリスト)
ここでは、拠点から特定の宛先IPアドレス、宛先ポート番号の通信を拒否させる手順について説明します。
一例として次の構成を作成します。
・拠点から本社や他の拠点宛てに通信します。
・ただし、本社の特定のネットワークセグメント(192.168.11.0/24)宛ての通信を拒否します。
・セキュリティポリシー上、FTPで利用するTCP 20番および21番ポート宛ての通信を拒否します。
・この例では、1行目の設定で下りの自端末宛(192.168.1.0/24宛)通信を全て許可する設定も記載しました。オーケストレーターにて、本フィルタ設定は、上り、下り、同一エッジのLAN同士の通信でも適用されるように高機能化しています。1行目の記載がない場合、3行目の設定により、下りの自端末宛(192.168.1.0/24)のTCP20-21も拒否する動作になります。拒否してよい場合は、1行目の記載は不要です。お客様の意図したい動作に合わせてご設定ください。
設定手順は次の通りです。
ステップ1.IPフィルターを作成
ー手順1. 「IPフィルター作成」画面を開く
ー手順2. IPフィルターの作成
ステップ2.LANポートにIPフィルターを設定
ー手順1. 「拠点」の選択
ー手順2. 拠点のLANポートを選択
ー手順3. LANポートにIPフィルターを設定
ステップ1.IPフィルターを作成
手順1. 「IPフィルター作成」画面を開く
IPフィルター一覧からテナントを選択し、「+IPフィルター作成」画面を開きます。
手順2. IPフィルターの作成
IPフィルター一覧からテナントを選択し、「+IPフィルター作成」画面を開きます。
「IPフィルター 作成」画面から、以下を選択、入力します。
これでIPフィルターの作成は完了です。
項目 | 設定例 | |
IPフィルター名 | 一般拠点向け_IPフィルター | |
[No.1] | 動作 | accept |
送信元セグメント | 0.0.0.0/0 | |
宛先セグメント | 192.168.1.0/24 | |
プロトコル | ALL | |
開始ポート番号 | 1 | |
終了ポート番号 | 65535 | |
ステータス | 有効 | |
[No.2] | 動作 | deny |
送信元セグメント | 0.0.0.0/0 | |
宛先セグメント | 192.168.11.0/24 | |
プロトコル | ALL | |
開始ポート番号 | 1 | |
終了ポート番号 | 65535 | |
ステータス | 有効 | |
[No.3] | 動作 | deny |
送信元セグメント | 0.0.0.0/0 | |
宛先セグメント | 0.0.0.0/0 | |
プロトコル | CUSTOM_TCP | |
開始ポート番号 | 20 | |
終了ポート番号 | 21 | |
ステータス | 有効 |
・IPフィルタールール No.1
・IPフィルタールール No.2
・IPフィルタールール No.3
ステップ2.LANポートにIPフィルターを設定
手順1. 「拠点」の選択
拠点一覧からテナントを選択し、対象の拠点を選択します。
手順2. 拠点のLANポートを選択
拠点の詳細画面の対象LANポートのIPフィルターの鉛筆ボタンから、「IPフィルター選択」画面を開きます。
LANポート自体の設定は「LANの設定:IPアドレスの設定」を参照ください。
手順3. LANポートにIPフィルターを設定
「IPフィルター選択」のポップアップ画面から、作成したIPフィルターを選択し、「選択」ボタンをクリックします。これでIPフィルターの設定は完了です。
コメント
0件のコメント
サインインしてコメントを残してください。