7. バーチャルサーバおよびプールの設定 (LTM の設定 )
7.1. web-vs 設定
HTTP(80) の Monitor 設定 7.1.1.
本ガイドのweb-poolでは、HTTP(80),HTTPS(443),そしてSSH(22)が動作しているので、Pool設定の際に、サー ビスポートをワイルドカード "*" で指定します。
そのため、ヘルスモニターを行うポートは別途明示的に指定しておく必要があります。
HTTPS(443)はデフォルトで用意されていますが、HTTP(80)は存在していないので、先に作っておきます。
「Main」メニュー → 「Local Traffic」→「Monitors」で表示された画面右上の「Create」ボタンを押し、現れた画面で 以下のように設定します。
名前(任意)を指定。
ヘルスモニターを実施するポートを指定。
Pool 設定 7.1.2.
「Main」メニュー → 「Local Traffic」→「Pools」で表示された画面右上の「Create」ボタンを押し、現れた画面で以下 のように設定します。
名前(任意)を指定。
https_443と、先ほど作成したモニターを選択。
プールメンバーのIPアドレスと、
ここではサービスポートとして「*」を入力し、
Addボタンを押す。
Virtual Server 設定 7.1.3.
「Main」メニュー → 「Local Traffic」→「Virtual Servers」で表示された画面右上の「Create」ボタンを押し、現れた画 面で以下のように設定します。
名前(任意)を指定。
VSのIPアドレスを入力。
本ガイドではサービスポートを「*」とする。
外部で有効にするVSなので、
RD1-externalを選択。
7.2. wild-xxx-vs の設定 wild-pool の設定 7.2.1.
本poolでは多数のサービスが動いており、個々の全サービスに一つずつヘルスモニターを設定してもよいのですが、
本ガイドでは簡易的にICMPによるヘルスモニターとします。
「Main」メニュー → 「Local Traffic」→「Pools」で表示された画面右上の「Create」ボタンを押し、現れた画面で以下 のように設定します。
名前(任意)を指定。
gateway_icmpを選択。
プールメンバーのIPアドレスと、
ここではサービスポートとして「*」を入力し、
Addボタンを押す。
wild-tcp-vs の設定 7.2.2.
「Main」メニュー → 「Local Traffic」→「Virtual Servers」で表示された画面右上の「Create」ボタンを押し、現れた画 面で以下のように設定します。
名前(任意)を指定。
VSのIPアドレスを入力。
本ガイドではサービスポートを「*」とする。
外部で有効にするVSなので、
RD1-externalを選択。
wild-ftp-vs の設定 7.2.3.
同様の方法で、ftp用VSを設定します。
名前(任意)を指定。
VSのIPアドレスを入力。
サービスポートは21「FTP」を選択。
設定したPoolを選択。
ftpプロファイルを選択。
外部で有効にするVSなので、
RD1-externalを選択。
wild-dns-vs の設定 7.2.4.
同様の方法で、DNS用VSを設定します。
名前(任意)を指定。
VSのIPアドレスを入力。
サービスポートは53を選択。
設定したPoolを選択。
UDPを選択。
外部で有効にするVSなので、
RD1-externalを選択。
7.3. office-xxx-vs の設定
オフィスからインターネットへの通信を行うための設定を行います。
office-tcp-vs の設定 7.3.1.
TCP通信用のVSを設定します。
「Main」メニュー → 「Local Traffic」→「Virtual Servers」で表示された画面右上の「Create」ボタンを押し、現れた画 面で以下のように設定します。
名前(任意)を指定。
TypeはNetworkを選択し、0.0.0.0/0とする。
サービスポートは「*」とする。
officeのVLANで有効にするVSなので、
RD1-officeを選択。
office-ftp-vs の設定 7.3.2.
同様の方法で、FTP用のVSを設定します。
名前(任意)を指定。
TypeはNetworkを選択し、0.0.0.0/0とする。
サービスポートは「21」とする。
officeのVLANで有効にするVSなので、
RD1-officeを選択。
FTPプロファイルを選択。
office-dns-vs の設定 7.3.3.
DMZに設置されたDNSを利用する設定を行います。
名前(任意)を指定。
TypeはNetworkを選択し、0.0.0.0/0とする。
サービスポートは「53」とする。
officeのVLANで有効にするVSなので、
RD1-officeを選択。
wild-Poolを選択。
7.4. outbound-xxx-vs の設定
DMZに設置されたサーバが行うサーバアップデートを想定して、DMZ→インターネット方向の設定を行います。
outbound-http-vs 7.4.1.
HTTP通信用VSを設定します。
「Main」メニュー → 「Local Traffic」→「Virtual Servers」で表示された画面右上の「Create」ボタンを押し、現れた画 面で以下のように設定します。
名前(任意)を指定。
TypeはNetworkを選択し、0.0.0.0/0とする。
サービスポートは「80」とする。
internalのVLANで有効にするVSなので、
RD1-internalを選択。
outbound-ftp-vs 7.4.2.
同様の方法で、FTP用VSを設定します。
名前(任意)を指定。
TypeはNetworkを選択し、0.0.0.0/0とする。
サービスポートは「21」とする。
internalのVLANで有効にするVSなので、
RD1-internalを選択。
FTPプロファイルを選択。
outbound-dns-vs 7.4.3.
同様の方法で、DNS用VSを設定します。
名前(任意)を指定。
TypeはNetworkを選択し、0.0.0.0/0とする。
サービスポートは「53」とする。
internalのVLANで有効にするVSなので、
RD1-internalを選択。
UDPプロファイルを選択。
7.5. 全バーチャルサーバの一覧
以下は、ここまでで設定したバーチャルサーバの一覧です。
7.6. 通信確認
全てのバーチャルサーバで、期待通りの通信ができていることを確認します。
8. Logging Profile の設定
以下の(5),(6)の設定を行います。
8.1. Logging Profile の作成
「Main」メニュー → 「Security」→「Event Logs」→「Logging Profiles」で表示された画面右上の「Create」ボタンを 押し、現れた画面で以下のように設定します。
名前(任意)を指定。
設定済みのPublisherを指定。
出力するログをチェック。
ログに含めるフィールドを指定。
この設定は任意(=設定しなくてもよい)。
8.2. Logging Profile の VS への適用
各バーチャルサーバへ、設定したLogging Profileを適用します。
(1)
web-vsを例にとります。「Main」メニュー → 「Local Traffic」→「Virtual Servers」→「Virtual Sever list」で表示された該当VSをクリックし、
「Security」タブをクリックすると、以下の画面が表示されます。「Add」ボタンを押します。
(2)
その他の全てのバーチャルサーバに対しても、同様の設定を行います。設定したLogging Profileを割当てる。
9. ルールの作成
パケットフィルタリング用のルールを設定します。
9.1. Global 向けルール設定
一旦、パーティションを「Common」に戻し、共通設定を行います。
TCP ポートのリスト設定
9.1.1.
ここではPort Listを使った設定を行ってみます。
「Main」メニュー → 「Security」→「Network Firewall」→「Port Lists」で表示された画面の右上にある「Create」ボタ ンを押し、現れた画面で以下のように設定します。
UDP ポートのリスト設定
9.1.2.
同様の方法で、UDPポートのリストも設定します。
許可するTCPポートすべてを設定。
名前(任意)を指定。
名前(任意)を指定。
Global の ACL 設定 9.1.3.
Globalでパケットフィルタする設定を行います。
「Main」メニュー → 「Security」→「Network Firewall」→「Active Rules」で表示された画面の右上にある「Add」ボタ ンを押します。
(1)
TCP許可用ルール 以下のように設定します。TCPを選択。
名前(任意)を指定。
Portで「Specify…」を選択。
Port Listにチェックを入れて、
設定したTCPポートリストを選択。
「Add」ボタンを押す。
(2)
UDP許可用ルール再度「Add」ボタンを押し、以下のように設定します。
(3)
上記以外は全て拒否するルール再度「Add」ボタンを押し、以下のように設定します。
UDPを選択。
名前(任意)を指定。
Portで「Specify…」を選択。
Port Listにチェックを入れて、
設定したUDPポートリストを選択。
「Add」ボタンを押す。
名前(任意)を指定。
Rejectを選択。
ロギングを有効にする。
(4)
Global ACLは以下のようになります。Global の Logging 設定 9.1.4.
Globalのログ出力は、「global-network」というデフォルトで用意されたLogging Profileの設定変更が必要です。
(1)
「Main」メニュー → 「Security」→「Event Logs」→「Logging Profiles」で表示された「global-network」をクリック します。(2)
以下のように設定します。設定済みのPublisherを指定。
出力するログをチェック。
ログに含めるフィールドを指定。
この設定は任意(=設定しなくてもよい)。
9.2. web-vs の ACL 設定
RD1-Partitionに切替えます。
Rule List の作成 9.2.1.
ここでは、Rule listを使ってみます。
(1)
まず、ルールの入れものをつくります。「Main」メニュー → 「Security」→「Network Firewall」→「Rule Lists」で表示された画面の右上にある「Create」ボタ ンを押すと、以下の画面が現れます。 Nameだけ入力して「Finished」ボタンを押します。
(2)
作成したweb_listをクリックします。(3)
「Add」ボタンを押します。名前(任意)を指定。
(4)
HTTP(80)用ルール再度「Add」ボタンを押し、以下のように設定します。
(5)
HTTPS(443)用ルール再度「Add」ボタンを押し、以下のように設定します。
TCPを選択。
名前(任意)を指定。
Portで「Specify…」を選択。
Portにチェックを入れて、
ポート番号を入力。
「Add」ボタンを押す。
ロギングを有効にする。
TCPを選択。
名前(任意)を指定。
Portで「Specify…」を選択。
Portにチェックを入れて、
ポート番号を入力。
「Add」ボタンを押す。
ロギングを有効にする。
(6)
あるIPアドレス(10.99.4.223)を拒否するルール通信テストで、拒否ルールが正常に動作していることを確認しやすいように、本ガイドではその対象を10.99.4.223 としました。以下のように設定します。
(7)
ルールは上から評価されるので、このように拒否ルールが一番下にあると、HTTP(80)、HTTPS(443)は通過して しまいます。そこで、ルールの順番を変更します。「Reorder」ボタンを押します。
名前(任意)を指定。
Address/Regionで「Specify…」を選択。
Addressにチェックを入れて、
IPアドレスを入力。
「Add」ボタンを押す。
Rejectを選択。
ロギングを有効にする。
(8)
各ルールの先頭にマウスを移動すると、カーソルが手のマークに変わります。拒否ルールをドラッグして、一番上に移動し、「Update」ボタンを押します。
(9)
拒否ルールが一番上に移動します。ACL の適用
9.2.2.
Rule Listを使って作成したACLを、web-vsへ適用します。
(1)
「Main」メニュー → 「Local Traffic」→「Virtual Servers」→「Virtual Sever list」で表示された該当VSをクリックし、「Security」タブをクリックすると、以下の画面が表示されます。「Add」ボタンを押します。
(2)
以下のように設定します。(3)
以下の状態になります。Rule Listを選択。
作成したRule Listを選択。
(4)
全拒否ルールの追加デフォルトでは、ルールにヒットしなかったパケットはAcceptとなっています。
このままでは、全てのパケットが通過してしまうので、最後に全拒否ルールを入れます。
再度、「Add」ボタンを押し、現れた画面で以下のように設定します。
(5)
以下の状態になります。これでweb-vs用のACLは完成です。(6)
通信テストを実施して、通過/拒否動作が期待通りであることを確認してください。名前(任意)を指定。
Rejectを選択。
ロギングを有効にする。