特定の宛先IPアドレスのみを許可(ホワイトリスト)
ここでは、拠点から特定の宛先IPアドレスへの通信のみを許可させる手順について説明します。
一例として次の構成を作成します。
・拠点(192.168.1.0/24)から本社 ( 192.168.11.0 / 24 ) 宛てにのみ通信を許可します。
・セキュリティポリシー上、拠点から別の拠点 ( 192.168.12.0 / 24ほか ) への通信は拒否します。
・オーケストレーターにて、本フィルタ設定は、上り、下り、同一エッジのLAN同士の通信でも適用されるように高機能化しています。そのため、2行目の設定により、下りの自端末宛(192.168.1.0/24)の通信も許可する設定を記載しております。
・もう少し正確に記載しますと、フィルタ動作は、セッション状態を管理しています(keep state enableでフィルタ動作致します) そのため、192.168.1.0/24から発信~192.168.11.0/24着信の通信のみであれば、1行目の設定のみでもOKですが、1行目のみですと、192.168.11.0/24から発信~192.168.1.0/24着信は拒否します。そのため、2行目で下りの通信を許可する設定を例として記載しております。
お客様の意図したい動作に合わせてご設定を変更ください。
設定手順は次の通りです。
ステップ1.IPフィルターを作成
ー手順1.「IPフィルター作成」画面を開く
ー手順2.IPフィルターの作成
ステップ2.LANポートにIPフィルターを設定
ー手順1.「拠点」の選択
ー手順2.拠点のLANポートを選択
ー手順3.LANポートにIPフィルターを設定
ステップ1.IPフィルターを作成
手順1.「IPフィルター作成」画面を開く
IPフィルター一覧からテナントを選択し、「+IPフィルター作成」画面を開きます。
手順2.IPフィルターの作成
IPフィルター一覧からテナントを選択し、「+IPフィルター作成」画面を開きます。
「IPフィルター 作成」画面から、以下を選択、入力します。
これでIPフィルターの作成は完了です。
項目 | 設定例 |
|
IPフィルター名 | 一般拠点向け_IPフィルター | |
[No.1] | 動作 | accept |
送信元セグメント | 192.168.1.0/24 | |
宛先セグメント | 192.168.11.0/24 | |
プロトコル | ALL | |
開始ポート番号 | 1 | |
終了ポート番号 | 65535 | |
ステータス | 有効 | |
[No.2] | 動作 | accept |
送信元セグメント | 192.168.11.0/24 | |
宛先セグメント | 192.168.1.0/24 | |
プロトコル | ALL | |
開始ポート番号 | 1 | |
終了ポート番号 | 65535 | |
ステータス | 有効 | |
[No.3] | 動作 | deny |
送信元セグメント | 0.0.0.0/0 | |
宛先セグメント | 0.0.0.0/0 | |
プロトコル | ALL | |
開始ポート番号 | 1 | |
終了ポート番号 | 65535 | |
ステータス | 有効 |
・IPフィルタールール No.1
・IPフィルタールール No.2
・IPフィルタールール No.3
ステップ2.LANポートにIPフィルターを設定
手順1.「拠点」の選択
拠点一覧からテナントを選択し、対象の拠点を選択します。
手順2.拠点のLANポートを選択
拠点の詳細画面の対象LANポートのIPフィルターの鉛筆ボタンから、「IPフィルター選択」画面を開きます。
LANポート自体の設定は「LANの設定:IPアドレスの設定」を参照ください。
手順3.LANポートにIPフィルターを設定
「IPフィルター選択」のポップアップ画面から、作成したIPフィルターを選択し、「選択」ボタンをクリックします。
これでIPフィルターの設定は完了です。
コメント
0件のコメント
サインインしてコメントを残してください。