|
◆ ゾーンとは
ゾーンには、セキュリティゾーン以外にファンクションゾーンとトンネルゾーンがありますが、設定上で
意識する必要があるのは主にセキュリティゾーンです。SSGの初期設定として存在するゾーンは以下です。
| 3種類のゾーン |
ゾーン名 |
説明 |
| セキュリティゾーン |
Untrust |
Untrst(=信頼されない)。インターネットやWANなどの外部接続用 |
| Trust |
Trust(=信頼される)。社内LANなどの内部接続用 |
| DMZ |
公開サーバ接続用 |
| Global |
仮想IPの定義ゾーン、デフォルトポリシーの作成に使用されるゾーン |
| V1-Untrust |
トランスペアレントモード(L2モード)使用時の外部接続用 |
| V1-Trust |
トランスペアレントモード(L2モード)使用時の内部接続用 |
| V1-DMZ |
トランスペアレントモード(L2モード)使用時のDMZ接続用 |
| ファンクションゾーン |
Null |
I/Fがセキュリティゾーンにアサインされる前に定義されるゾーン |
| Self |
リモート管理接続 (Telnet、HTTPなど) のための内部使用のゾーン |
| HA |
HA ( High Availability ) 用で使用するゾーン |
| MGT |
管理インターフェースで使用するゾーン |
| トンネルゾーン |
Untrust-Tun |
VPNトンネル用に使用するゾーン |
インターフェースに割り当てる仮想的なグループであるセキュリティゾーンには以下のルールがあります。
◆ バーチャルルータとは
バーチャルルータとは仮想的なルータのこと。これにより、1つの物理的なSSGに複数の仮想的なルータを
存在させることができるので、バーチャルルータの数だけルーティングテーブルを保持することができます。
SSGではデフォルトで「Trust-VR、Untrust-VR」の2つがあります。通常はTrust-VRのみが使用されます。
このように、2つのルーティングドメインを1つの物理的なSSGで持つことができて、それぞれの経路情報
の分断や交換が可能になります。社内NWでは1つのVR構成が多く、DMZ構成時にVRを2つ使用する場合が
あります。下図はバーチャルルータが1台の時のルーティングテーブルであり、一般的なルータと同じです。
一方、バーチャルルータを2台使用した時の構成が下図であり、VRごとに独自のルーティングテーブルを
保持することになるので、trust-vr と untrust-vr 間とで通信するためには、バーチャルルータ間において
ルーティングの設定が必要となります。CiscoでいうVRFを理解している人には理解しやすいかと思います。
trust-vr のネットワークから、untrust-vr のネットワークへ通信したい場合、set route 20.1.0.0/16 vrouter
untrust-vr が必要。
この場合、trust-vr から untrust-vr ネットワークへのみ通信が可能(戻りは可)となり untrust-vr からのアクセスはできません。
|