|
◆ SSG - マルチセルポリシーとは
ポリシーを作成する際には、IPアドレス(ネットワークセグメント)を示すアドレスブックを作成します。
次に、アドレスブックを束ねたい場合(複数のネットワークセグメントを束ねたい場合)アドレスグループ
を作成します。最後に、このアドレスブックまたはアドレスグループを使用してポリシーを作成すればOK。
以上が一般的なポリシー作成ですが、マルチセルポリシーではポリシー上で複数のアドレスブックを指定
したり、複数のアドレスグループを指定することができます。結果として、マルチセルポリシーでは複数の
アドレスブックを束ねる役割や、複数のアドレスグループを束ねる役割と同じ位置付けになるとも言えます。
マルチセルポリシーには大きく以下の3種類があります。
@ Multiple for Source Address ( 送信元アドレスを束ねるポリシー )
A Multiple for Destination Address ( 宛先アドレスを束ねるポリシー )
B Multiple for Service (サービス(ポート番号)を束ねるポリシー )
◆ SSG - マルチセルポリシー ( Multiple for Source Address )
先ず、アドレスブックを作成します。
◆ 設定例 : TESTゾーンで使用するための「192.168.1.0/24 を示す AANW」「192.168.2.0/24 を示す BBNW」を作成
SSG-> set address TEST AANW 192.168.1.0 255.255.255.0
SSG-> set address TEST BBNW 192.168.2.0 255.255.255.0
|
次に、アドレスブックを使用してポリシーを作成しますが、ポリシーで複数のアドレスブックを指定します。
なお、下記設定ではアドレスブックを束ねていますが、アドレスグループを束ねて定義することも可能です。
◆ 設定例 : TESTゾーンからUntrustゾーンへ、送信元アドレスの「AANW」と「BBNW」の通信を許可
SSG-> set policy id 1 from TEST to Untrust AANW Any ANY permit
SSG-> set policy id 1
SSG(policy:1)-> set src-address BBNW
|
以上がマルチセルポリシーの設定ですが、上記設定は以下設定と同じ結果が得られることになります。
SSG-> set group address TEST TESTNW add AANW
SSG-> set group address TEST TESTNW add BBNW
SSG(policy:1)-> set policy id 1 from TEST to Untrust TESTNW Any ANY permit
|
◆ SSG - マルチセルポリシー ( Multple for Destination Address )
Multiple for Source AddressとMultiple for Destination Addressの違いは「送信元か宛先」かだけです。
先ず、アドレスブックを作成します。
◆ 設定例 : Untrustゾーンで使用するための「10.1.1.0/24 を示す XXNW」「10.1.2.0/24 を示す YYNW」を作成
SSG-> set address Untrust XXNW 10.1.1.0 255.255.255.0
SSG-> set address Untrust YYNW 10.1.2.0 255.255.255.0
|
次に、アドレスブックを使用してポリシーを作成しますが、ポリシーで複数のアドレスブックを指定します。
なお、下記設定ではアドレスブックを束ねていますが、アドレスグループを束ねて定義することも可能です。
◆ 設定例 : TESTゾーンからUntrustゾーンへ、送信元アドレス「AANW」から宛先アドレス「XXNW」と「YYNW」への通信許可
SSG-> set policy id 1 from TEST to Untrust AANW XXNW ANY permit
SSG-> set policy id 1
SSG(policy:1)-> set dst-address YYNW
|
同じ結果が得られる設定は以下の通りです。
SSG-> set group address UntrustNW UntrustNW add XXNW
SSG-> set group address UntrustNW UntrustNW add YYNW
SSG(policy:1)-> set policy id 1 from TEST1 to Untrust AANW UntrustNW ANY permit
|
◆ SSG - マルチセルポリシー ( Multple for Service )
先ず、カスタムサービスを設定します。※ Pre-defined Serviceを使用する場合は設定は不要です。
次に、ポリシー上でset serviceコマンドを使用して複数のサービスを束ねていきます。以下の例では、
SALES(192.168.1.0/24)のクライアントPCが DNS、FTP、HTTP、HTTPS、mail、PING などの
サービスを利用してインターネットに通信するための設定となります。
SSG-> set policy id 1 from TEST1 to Untrust SALES any DNS permit
SSG-> set policy id 1
SSG(policy:1)-> set service FTP
SSG(policy:1)-> set service HTTP
SSG(policy:1)-> set service HTTPS
SSG(policy:1)-> set service MAIL
SSG(policy:1)-> set service POP3
SSG(policy:1)-> set service PING
SSG(policy:1)-> exit
|
同じ結果が得られる設定は以下の通りです。
SSG-> set group service INTERNET add DNS
SSG-> set group service INTERNET add FTP
SSG-> set group service INTERNET add HTTP
SSG-> set group service INTERNET add HTTPS
SSG-> set group service INTERNET add MAIL
SSG-> set group service INTERNET add POP3
SSG-> set group service INTERNET add PING
SSG-> set policy id 1 from TEST1 to Untrust SALES any INTERNET permit
|
以上の通り、アドレスグループやサービスグループとマルチセルポリシーとの違いはほとんどなく、
管理性の問題と言えます。CLIのコンフィグをよりシンプルにするためにはマルチセルポリシーより
アドレスグループやサービスグループを使用した方がよりスッキリとします。
また、HTTPとHTTPSはセットでサービス指定することが多いので、これらはマルチセルポリシーより
サービスグループとして定義しておくことで、設定がよりシンプルとなります。
|