※この記事は以下の記事の日本語訳です。
Getting Started: Layer 3 Subinterfaces
https://live.paloaltonetworks.com/t5/Featured-Articles/Getting-Started-Layer-3-Subinterfaces/ta-p/67...
ファイアウォールを開梱して、Vlan(サブ・インターフェイス)の設定をしたい
現在、新しいパロアルトネットワークス・ファイアウォールが起動して、動作している状況です。作成した様々なLayer 3サブ・インターフェイスにタグ付けしたVLANを追加してみましょう。一連の導入設定ガイドでは、ファイアウォールの箱を開梱し、ソフトウェアのアップグレード、VWireもしくはLayer3モードの設定が終わった後の最初のステップについて記述しています。 I've unpacked my firewall, now what? と I've unpacked my firewall and did what you told me, now what? を参照してください。
あなたの組織では、インターネット上のWeb Serverとユーザのワークステーションを分けるために複数のネットワークセグメントが存在しているかもしれません。これらのネットワークが相互に通信するのを防ぐには、コアスイッチにVLANを実装し、両方のバーチャルネットワークを接続するブリッジやゲートウェイなしで、1つのVLANにあるホストが別のVLANにあるホストと通信できないようにします。
まず、前回の導入設定ガイドの続きから見ていきましょう。ファイアウォールにはLayer3インターフェイスがあり、トランクインターフェイスと通信できるようにTrustインターフェイスを変更する予定です。
レギュラーもしくはアクセス・スイッチポートとトランク・スイッチポートの違いは、アクセス・ポートがいかなるパケットでもイーサネットヘッダーを改ざんしないのに対して、トランク・ポートは IEEE 802.1Q ヘッダーの形式でVLANタグを付加することです。これにより、パケットはスイッチ外でVLAN情報を保持し、これらのパケットを受信する次のホストによって違うLANネットワークとして扱われることが保証されます。
interface GigabitEthernet1/36
switchport
switchport access vlan 100
switchport mode access
switchport nonegotiate
spanning-tree portfast
...reconfigure...
interface GigabitEthernet1/36
switchport
switchport trunk allowed vlan 100,200
switchport mode trunk
switchport nonegotiate
spanning-tree portfast
インターフェイス設定を、VLANタグ設定のサブインターフェイスに変更します。
1. サブインターフェイス設定
最初に物理ファイアウォールからIP設定を削除します。
- Networkタブに移動。
- 左パネルのInterfacesに移動。
- Interface設定を開く。
- IPv4タブを開く。
- ネットワークアドレスを選択。
- Deleteをクリック。
サブインターフェイスを追加する準備ができました。
サブインターフェイス設定では、インターフェイス番号とタグを割り当てます。タグはVLANと一致している必要がありますが、インターフェイス番号は違っても構いません。管理を容易にするために、双方を同じにしたほうがよいでしょう。そしてインターフェイスをDefault Virtual Routerに割り当て、Trustセキュリティ・ゾーンに設定します。
次に、IPv4タブに移って、インターフェイスにIPアドレスを追加します。
次に、Advancedタブに移り、Management Profileで'ping'を選択します。
次に、Webサーバーを次の図のようにスイッチのVLAN 200に加えます。
第2のサブインターフェイス設定が必要で、それをVLAN 200タグに設定します。違うセキュリティ・ゾーンを作成し、違うセキュリティ・ポリシーを設定することができます。
'dmz'ゾーンを作成します。
そして、違うインターフェイスとIPサブネットを割り当てます。
そしてManagement Profileに'ping'を設定します。
インターフェイス設定は以下のようになっているかと思います。
2. DHCP再設定
前回設定したDHCPサーバー設定を新しいサブインターフェイス設定に移動します。
- Networkタブに移動。
- 左パネルから、DHCPメニューを選択。
- インターフェイスethernet1/2用のDHCP設定を開く。
- インターフェイスをethernet1/2.100に新しいサブインターフェイス設定に一致するよう変更。
3. 新しいNAT ポリシー設定
次のステップは、ファイアウォールの外部アドレス経由で、インターネット上のWebサーバにホストが接続するためのNATポリシーを設定します。
- Policiesタブに移動。
- NAT設定を左側パネルから選択。
- Addをクリックして、新しいNATポリシーを作成。
Original Packetタブでは送信元、宛先ゾーンをuntrustそして、宛先アドレスを、ファイアウォールの外部アドレスに設定します。宛先ゾーンがuntrustなのは、ファイアウォールは宛先ゾーンを受信パケットのルーティングテーブルベースで決定するからです。この場合、NAT変換前の宛先IPアドレスが適用され、untrustゾーンとなります。
Translated Packetタブでは、Webサーバーの物理アドレスを設定します。
4. Securityポリシーの追加
最後のステップでは、Webサーバーにアクセスするために、TrustからUntrustゾーンを許可するSecurityポリシーを追加します。
- Policiesタブに移動。
- 左パネルからSecurityを開く。
- Addをクリックして、access_to_webserverという名前のSecurityポリシーを追加。
ここでは、送信元ゾーンが'untrust'を選択、
宛先には'dmz'を選択、宛先アドレスには、ファイアウォールの外部IPアドレスを設定します。
アプリケーションにはweb-browsingを追加し、
攻撃者からWebサーバーを守るために、必要なSecurityプロファイルを選択します。
TrustゾーンからのSecurityポリシーのステップを繰り返し、追加のアプリケーションを設定します。
Destinationでは、Securityゾーンに'dmz'を、アドレスにはWebサーバーの内部アドレスを設定します。
追加の管理用Applicationsを加えます。
設定されたSecurityポリシーは以下の様になっています。
新しい設定をcommitした後に、インターフェイスethernet1/2がVLAN 100と200のタグ付きパケットを処理でき、Webサーバーが外部インターネットに対して公開されていることが確認できます。
もしこの記事に興味がありましたら、次のフォローアップ記事も併せてご参照ください。
I’ve unpacked my firewall, but where are the logs?
著者: reaper
