→ファイアウォール
windows機を外部で運用する際、特定サービスのみ(この場合googleのツール群)接続させたいという要望があったので、windows firewallを使ってIPアドレスを登録し、ホワイトリストで接続制限をすることになった。 デフォルトの接続を全て禁止にする IPリストの作成 netshのfirewallコマンドテンプレを書く 参考url
Sophos社の提供するファイアウォール機器「Sophos Firewall」の導入に際して必要となる、ファイアウォール登録とサブスクリプションのアクティベートの段取りについて紹介します。意外と段取りが多い上、機器導入時しか行わない作業で実施機会が少なく忘れそうなため、備忘録としてまとめておきます。※作業画面のない文字とリンクばかりの記事となりますこと、ご容赦ください。 Sophos Firewallについて XGシリーズのEOLとXGSシリーズへの移行について 新しい機器の登録とサブスクアクティベートの段取り Sophos Firewallについて ファイアウォール機器としては日本ではマイナ…
1-1.設定①: 設定→ファィヤーウォール設定ツール 1-2.設定: $ sudo ufw enable$ sudo ufw default deny$ sudo ufw logging on$ sudo ufw reload 2.確認: $ sudo ufw status verbose 状態: アクティブロギング: on (low)Default: deny (incoming), allow (outgoing), disabled (routed)新しいプロファイル: skip
概要 トポロジー (PC).1---------.2[FW1].2--------.1[INTERNET].1--------.2[FW2].2---------.1(PC) |<----------->| |<---------->| |<---------->| |<----------->| NW1 WAN1 WAN2 NW2 192.168.10.0/24 10.0.10.0/24 10.0.20.0/24 192.168.20.0/24 構成 Internet (CiscoRT) I/F 0/0: WAN1 I/F 0/1: WAN2 FW1 (Fortigate) I/F wan:…
構成 トポロジー (Internet)------[FW]---------------(PC) ---------------(SV) |<------------->| |<------------->| WAN LAN 10.0.0.0/24 192.168.10.0/24 192.168.20.0/24 構成* Internet (CiscoRT) PC (CiscoRT) SV (CiscoRT) Fortigate I/F wan: PPPoE接続するWAN側I/F Zone: untrust port1: PCを接続するLocal側のI/F zone: trust port2: …
構成 トポロジー (Internet)------[FW]---------------(PC) |<------------->| |<------------->| WAN LAN 10.0.0.0/24 192.168.0.0/24 構成 Internet (CiscoRT) PC (CiscoRT) FW (Fortigate) I/F wan: PPPoE接続するWAN側I/F internal: PCを接続するLocal側のI/F IP情報 WAN: 10.0.0.0/24 LAN: 192.168.0.0/24 Policy(許可内容) PC source: 192.168.0.…
Firewallとは 通信の内容を解析し意図しない通信や外部からの攻撃を防ぐ機器・ツールの総称 FWには大きく2つあり、ネットワーク機器とPCやSVに導入するセキュリティソフト等のツールがある。 従来のFWとNGFWの違い 従来のFWのようにIP, ポート番号等で通信のチェックしていたのに対し、 NGFW(NextGeneration Firewall)ではHTTP等のアプリケーションレベルで通信の内容を解析して通信の可否をチェックすることが出来る。 ゾーン(Zone)について Zoneの種類 境界防御のファイアウォールの考え方として、Zoneというものがある。 Zoneは次の3つ分類される。…
オペレーションモード NATモード ルータのようにL3機器として動作する 既存のNWに導入する際はIP設定等の変更が必要 トランスペアレントモード(透過モード) スイッチのようにL2機器として動作 IP設定の変更が必要がない トランスペアレントモードへ変更 変更前の注意点 fortilink I/Fが存在する場合は事前に削除しておく必要がある IP設定が初期 手動で作成したオブジェクトがすべて削除 (アドレス,サービス等) ポリシー設定削除 モード変更 config system settings set opmode transparent set manageip <[MngtIP]/[P…
構成 トポロジー (Internet)------[FW]---------------(PC) |<------------->| |<------------->| PPPoE Local 10.0.0.0/24 192.168.0.0/24 構成 Internet (CiscoRT) PC (CiscoRT) Fortigate 機器情報 model: 60c version: I/F wan2: PPPoE接続するWAN側I/F internal1: PCを接続するLocal側のI/F IP情報 WAN: 10.0.0.0/24 LAN: 192.168.0.0/24 前提設定 Int…
概要 内容 FortigateはデフォルトでInternalポートがハードウェアSWで集約されている ハードウェアSWに属するポートがスイッチポートとして機能する ハードウェアSWの関連付けを切り離す 環境 機器: Fortigate 60c バージョン: v5.2.11,build754 Config: ファクトリーリセット直後 切り離し方法 制約 Internalに関連付けられているPolicyやオブジェクトを削除する必要がある Internalに関連付けられているDHCP機能を削除する必要がある ハードウェアSWの切り離しの際に自動で再起動が走る ※今回Internalに関連付けられてい…
