私のファイアウォールは何ができますか?レイヤ2インタフェース—

はじめの以前の分割払い、最初からファイアウォールを設定する方法を紹介します。この次のシリーズでカバーされますがより微細に役立つ高度な構成機能調整をお客様の環境に合わせてあなたのファイアウォール。今週は、レイヤー 2 インターフェイスとセキュリティ ポリシーを適用し、脅威の予防を提供しながら、ネットワークを安全に保つに Vlan 間のブリッジを提供するために、ファイアウォールを設定する方法を見て行きます。

我々はすでにレイヤ3サブインタフェースとして VLAN タグをカバーし始めた-レイヤ3サブインタフェースが、PAN-OS はまた、スイッチと同じように動作する真のレイヤー2のインターフェイスを作成することができます。

我々 は同じゾーンと同じ VLAN で 2 つのレイヤー 2 インターフェイスのある簡単な例から始めましょう。このシナリオは、たとえば、サーバーとクライアントの両方を同じ IP サブネットにあるして形成されるが、制御アプリケーションが使用されているおよび/または IP サブネットを変更することがなく脅威の予防を提供する必要があります必要があるセッションを許可する場合は、実用的な可能性があります。

スイッチの別の VLAN、VLAN 30 の VLAN 20 のたとえば、サーバーとクライアントにマシンの各セットを設定し、これらの VLAN の間のブリッジとして機能するファイアウォールがあります。

1. まず、我々 は層 2 に設定の物理インターフェイスによって使用される VLAN インターフェイスを作成する必要があります。[ネットワーク] タブに移動、左側のペインからインターフェイスを開き、[VLAN] タブを開きます。すでに 1 つ既定 VLAN インタ フェース、必要であれば再利用できるがありますが、追加ボタンをクリックして新しいものを作成します。
   インターフェイス ID を割り当てます、関連するコメントを追加、インターフェイスを割り当てるデフォルトの仮想ルータと、信頼ゾーンに追加されます。メモ ID を単にインターフェイスの識別番号は、任意の 802.1 q に影響しない、タグ付け。
   
   
   
   VLAN をインタ フェースに割り当てるしようとすると、まだ使用可能な任意にない、だから先に行くし、新しい VLAN オブジェクトを作成を開始する新しい VLAN リンクをクリックしてがわかります。
   
   

   

   
   単に名前を付けることと、今の [ok] をクリックします。
   
   

   

   VLAN インタ フェースはこのように少しを見てする必要があります。先に行くし、[ok] をクリックします。
   
   

2. ここから、我々 はインターフェイス ethernet1/2 レイヤー 2 を設定し、適切な VLAN 構成を設定するつもり。[イーサネット] タブに移動し、インターフェイス ethernet1/2 のプロパティを開き、レイヤー 2 インターフェイス型に変更します。
   
   
   レイヤー 2 インターフェイスに設定後、新しく作成された VLAN オブジェクトに VLAN を設定、セキュリティ ゾーンに任意のオプションが表示されないことに注意してください。我々 はまだすべてのレイヤー 2 セキュリティ ゾーンを作成していないためにです。 
   
   
   
   ファイアウォールで構成されている任意のセキュリティ ゾーンでは、レイヤー 3、VWire、レイヤー 2 などの特定のネットワーク型に添付されています。ステップ 1 で VLAN 構成、既定のルータとレイヤー 3 信頼のセキュリティ ゾーンに VLAN.100 インターフェイスを追加しました。これは、トラフィックをレイヤー 2 からレイヤー 3 に渡すためです。レイヤー 2 導入のこの段階を完了した後それを見て行きます。
   
   L2 信頼をという名前の新しいゾーンを作成する新しいゾーンのリンクをクリックしてください。
   
   
3. インターフェイス ethernet1/3 の上記の手順を繰り返します。
   
   
   
   
4. 最後の段階は両方のセグメントを接続して、これらのセッション セキュリティ プロファイルを適用するアプリケーションをより細かく制御できるように intrazone セキュリティ ポリシーを作成します。[ポリシー] タブを開き、左ペインでセキュリティ] に移動します。新しいセキュリティ ポリシーを作成する追加] をクリックします。ルールの種類] ドロップダウンから、タイプとして 'intrazone' を選択します。
   
   
   次に、[ソース] タブに移動、[追加] をクリックして、L2 信頼するソース ゾーンを設定します。
   
   これは、intrazone セキュリティ ポリシーは、宛先ゾーン選択アクセスできなくなされ、ソースの構成によって異なります。
   
   どのようなセグメント間の適切なアプリケーションを設定します。これらは、内部ホスト間を許可するアプリケーションのみです。これはしようとしてまたは他のネットワークからの接続には当てはまりません。
   
   
   
   最後に、セキュリティプロファイルを設定して、内部ホスト間のセッションが脆弱性、悪用、ウィルスなどの検査を受けるようにします。これで、セキュリティポリシーは次のようになります。Rule1 は、上記のように、
   
   
   
   Layer2 のルーティングを以下
   
   のセグメントで使用されます。

この構成は、あなたのホストはすべてが同じ IP サブネットに残りますのロールに応じて分離することができますを確認します。

さらに多くのセグメントを提供するために追加することができるインターフェイスまたはタグサブインタフェースは、はじめに説明したような方法で追加することができます: レイヤ3—サブインタフェース.

2 ルーティング層します。

次のステップとしては、レイヤー 2 の設定でいくつかのレイヤー 3 の機能を有効にする必要がありますので、あなたのネットワークのホストのインターネット アクセスを有効にできます。以前、VLAN 設定のいくつかのレイヤー 3 探しています構成を気づいたことがあります、我々 は機能を有効にする必要があります。

1. [ネットワーク] タブに移動します。
2. 左側のウィンドウのインターフェイスにアクセスします。
3. [VLAN] タブを開きます。
4. Vlan.100 オブジェクトを編集します。
5. [IPv4] タブに移動します。
6. [追加] をクリックします。
7. ネットワーク上のホストとそのサブネット マスク、デフォルト ゲートウェイとして使用する IP アドレスを入力します。

VLAN インタ フェースは今外の世界に向かってレイヤー 3 インターフェイスとして機能します。外の世界にあなたの内部のホストから発信されたすべてのセッションは、レイヤー 3 信頼ゾーンに行く層 3 信頼ゾーンからとしてファイアウォールによって処理されます。

NAT 構成内部の IP サブネットは、ファイアウォールとたぶん DHCP サーバーのパブリック IP アドレスに変換されますので、仮想ルータのデフォルト ルートを含む、送信の接続を許可するいくつかの追加の構成を必要がありますので、予めご了承自動的にあなたのネットワークに参加するワークステーションに IP アドレスを割り当てる。ここでは、これらの構成手順について詳しく説明する「はじめに」、「レイヤ3」、「NAT」、および「DHCP」をご覧ください。

インターネットに接続に必要な NAT ポリシー:

仮想ルーターの構成:

私は、この記事を楽しんだら、それを有用見つけた願っています。コメント セクションの下で任意の発言や質問を投稿する自由を感じる。

敬具します。

トム

レイヤ2インタフェースの詳細については、レイヤ2ネットワーク のテクニカルノートをご覧ください。