〒151-0053 東京都渋谷区代々木2-1-1 新宿マインズタワー TEL 03-5334-3601 FAX 03-5334-3639
• お客さまが複数年契約(複数年分のサポート費用前払い)された場合でも、各製品のサポート期間については、当該契約期間によらず、製品ごとに設定されたサポート提供期 間が適用されます。
• 複数年契約は、当該契約期間中の製品のサポート提供を保証するものではなく、また製品のサポート提供期間が終了した場合のバージョンアップを保証するものではありませ んのでご注意ください。
• 各製品のサポート提供期間は以下のWebサイトからご確認いただけます。
http://esupport.trendmicro.com/ja-jp/support-lifecycle/default.aspx 著作権について
本ドキュメントに関する著作権は、トレンドマイクロ株式会社へ独占的に帰属します。トレンドマイクロ株式会社が事前に承諾している場合を除き、形態および手段を問わず、本 ドキュメントまたはその一部を複製することは禁じられています。本ドキュメントの作成にあたっては細心の注意を払っていますが、本ドキュメントの記述に誤りや欠落があって もトレンドマイクロ株式会社はいかなる責任も負わないものとします。本ドキュメントおよびその記述内容は予告なしに変更される場合があります。
商標について
TRENDMICRO、TREND MICRO、ウイルスバスター、ウイルスバスター On‐Line Scan、PC-cillin、InterScan、INTERSCAN VIRUSWALL、InterScanWebManager、
InterScan Web Security Suite、PortalProtect、Trend Micro Control Manager、Trend Micro MobileSecurity、VSAPI、トレンドマイクロ・プレミアム・サポート・プログラム、Trend Park、
Trend Labs、Trend Micro Network VirusWall、Network VirusWall Enforcer、LEAKPROOF、Trend Micro Threat Management Solution、Trend Micro Threat Management Services、
Trend Micro Threat Mitigator、Trend Micro Threat Discovery Appliance、Trend Micro USB Security、InterScan Web Security Virtual Appliance、InterScan Messaging Security Virtual Appliance、
Trend Micro Reliable Security License、TRSL、Trend Micro Smart Protection Network、SPN、SMARTSCAN、Trend Micro Kids Safety、Trend Micro Web Security、
Trend Micro Collaboration Security、Trend Micro Portable Security、Trend Micro Standard Web Security、Trend Micro Hosted Email Security、Trend Micro Deep Security、
ウイルスバスタークラウド、Smart Surfing、スマートスキャン、Trend Micro Instant Security、Trend Micro Enterprise Security for Gateways、Enterprise Security for Gateways、
Trend Micro Email Security Platform、Trend Micro Vulnerability Management Services、Trend Micro PCI Scanning Service、Trend Micro Titanium AntiVirus Plus、Smart Protection Server、
Deep Security、ウイルスバスター ビジネスセキュリティサービス、SafeSync、Trend Micro InterScan WebManager SCC、Trend Micro NAS Security、Trend Micro Data Loss Prevention、
Securing Your Journey to the Cloud、Trend Micro オンラインスキャン、Trend Micro Deep Security Anti Virus for VDI、Trend Micro Deep Security Virtual Patch、
Trend Micro Threat Discovery Software Appliance、SECURE CLOUD、Trend Micro VDIオプション、おまかせ不正請求クリーンナップサービス、
Trend Micro Deep Security あんしんパック、こどもーど、Deep Discovery、TCSE、おまかせインストール・バージョンアップ、Trend Micro Safe Lock、Deep Discovery Advisor、
Deep Discovery Inspector、Trend Micro Mobile App Reputation、あんしんブラウザ、Jewelry Box、カスタム ディフェンス、InterScan Messaging Security Suite Plus、
おもいでバックアップサービス、おまかせ!スマホお探しサポート、保険&デジタルライフサポート、おまかせ!迷惑ソフトクリーンナップサービス、
Smart Protection Integration Framework、InterScan Web Security as a Service、Client/Server Suite Premium、Cloud Edge、Trend Micro Remote Manager、Threat Defense Expert、
スマートプロテクションプラットフォーム、Next Generation Threat Defense、セキュリティアットホーム、セキュリティエブリウェア、セキュリティコンシェルジュ、
Trend Micro Smart Home Network、Dr.Booster、Trend Micro Retro Scan、is702、デジタルライフサポート プレミアム、Airサポート、Connected Threat Defense、ライトクリーナー、
Trend Micro Policy Manager、およびフォルダシールドは、トレンドマイクロ株式会社の登録商標です。
本ドキュメントに記載されている各社の社名、製品名およびサービス名は、各社の商標または登録商標です。
Copyright © 2017 Trend Micro Incorporated. All rights reserved.
P/N: NVEM37737/170223_JP (2017/05)
目次
安全に正しくお使いいただくために ...vii
使用上の警告事項 ... viii
電源、ケーブルについて ... viii
本製品の設置について ... viii
その他の注意事項 ... ix
使用上の注意事項 ...x
電源、ケーブルについて ...x
本製品の設置について ...x
その他の注意事項 ...x
はじめに ... 11
本書について ... 12
本書の内容 ... 12
Network VirusWall Enforcerのドキュメント ... 13
ドキュメントとソフトウェアのアップデート ... 14
対象読者 ... 14
デバイスとソフトウェアのバージョン ... 14
ドキュメントの表記規則 ... 15
第 1 章 製品の概要 ... 17
Network VirusWall Enforcerの概要 ... 18
重要な概念 ... 19
技術仕様と環境仕様 ... 21
第 2 章 準備 ... 23
パッケージ内容物 ... 24
フロントパネル ... 26
ベゼルの取り付け ... 27
バックパネル ... 29
デバイスポート ... 30
ポートの機能 ... 30
データポートアダプタ ... 32
ネットワークポートインジケータ ... 32
内蔵ポートのインジケータ ... 32
銅線用拡張カードのインジケータ ... 33
光ファイバ拡張カードのインジケータ ... 33
光ファイバネットワーク ... 33
光ファイバメディアコネクタの選択 ... 34
拡張カードの取り付け ... 35
デバイスの設置 ... 37
第 3 章 Network VirusWall Enforcer の配置 ... 41
配置の計画 ... 42
配置の概要 ... 42
フェーズ1: 配置の計画 ... 43
フェーズ2: 事前設定の実行 ... 43
フェーズ3: デバイスの管理 ... 43
配置に関する注意事項 ... 44
保護対象の特定 ... 45
リモートアクセスエンドポイント ... 45
ゲストエンドポイント ... 48
主要なセグメントおよび不可欠な資産 ... 49
デュアルスイッチVLAN環境 ... 50
シングルスイッチVLAN環境 ... 53
IPv6アドレスを使用するネットワーク ... 53
ピュアIPv6環境 ... 54
デュアルスタックおよび混在環境 ... 54
ネットワークトラフィックの計画 ... 55
配置するデバイスの数の決定 ... 55
ポートグループ ... 55
MACフラッピングエラーの防止 ... 55
高可用性とフォールトトレランス ... 56
ポート冗長とデバイス ... 56
ポート冗長に関する考慮事項 ... 57
フェイルオーバー ... 57
フェイルオーバーに関する考慮事項 ... 58
フェイルオープン ... 58
フェイルオープンに関する考慮事項 ... 58
テスト配置の実施 ... 60
テストサイトの選択 ... 60
緊急時対策計画の作成 ... 60
テスト配置と評価 ... 61
配置方針の再検討 ... 61
配置シナリオ ... 61
基本的な配置シナリオ ... 61
フェイルオーバーなしのマルチ保護ゾーン設定 ... 62
フェイルオーバーを加えたポートグループの配置 ... 63
配置シナリオI:802.1q VLANを使用する (使用しない) シングルペア設定 ... 67
配置シナリオII:デュアルポートマルチモード光ファイバサーバ アダプタを使用したポイントツーポイントリンク ... 68
フェイルオーバーを加えたポート冗長の配置 ... 69
第 4 章 事前設定 ... 73
事前設定を実行する前に ... 74
ネットワークサポートの確認 ... 74
事前設定の準備 ... 74
事前設定の作業内容 ... 75
事前設定コンソール ... 75
事前設定の実行 ... 76
事前設定コンソールへのログオン ... 76
デバイス設定 ... 77
ポートの有効化とポート機能の選択 ... 79
インタフェースの速度と二重モードの設定 ... 81
ポートグループの定義 ... 81
ネットワークへの接続 ... 82
Network VirusWall Enforcerの設定 ... 83
第 5 章 トラブルシューティングとテクニカルサポート ... 85
デバイスの問題 ... 86
製品サポート情報 ... 87
サポートサービスについて ... 87
製品Q&Aのご案内 ... 88
セキュリティ情報 ... 88
トレンドマイクロ「セキュリティ情報」 ... 88
トレンドマイクロへのウイルス解析依頼 ... 89
脅威解析・サポートセンターTrendLabs (トレンドラボ) ... 89
索引 ... 91
安全に正しくお使いいただくために
本製品をお使いのお客さま、および他の人への危害や財産への損害を未然に防ぎ、本製品を安全に お使いいただくために守っていただきたい事項を示しています。本書に記載されている注意事項を よくお読みいただき、本製品を正しくお使いください。
本書に記載される表示と図記号には次のような意味がありますので、お読みになる際には必ず参照 してください。
警告
この表示の警告事項を守らないと、死亡または重傷を負う場合があります。
注意
この表示の注意事項を守らないと、本製品の使用者が傷害を負ったり、周辺の物品に損害を与えた りする場合があります。また、製品の故障、誤作動、不具合などの原因となる場合があります。
警告
使用上の警告事項
・ 本製品を分解したり、改造したりしないでください。異常発熱、火災、感電、事故などの原因 となる恐れがあります。
・ 本製品筐体の穴などに異物を挿入しないでください。異常発熱、火災、感電、事故などの原因 となる恐れがあります。
・ 煙が出ている、異臭がするなどの異常状態が発生した場合は、すぐに本製品の使用を停止し、
本製品の電源コードをコンセントから抜き取ってください。煙が出なくなったことを確認して から、本製品を購入した販売店にご連絡ください。異常状態のままで使用すると、火災や感電 の原因となります。
電源、ケーブルについて
・ 本製品に付属する電源コードセットは、他の電気機器で使用しないでください。
・ 電源コードが傷んだ状態で使用しないでください。異常発熱、火災、感電、故障などの原因と なる恐れがあります。
・ 本製品は AC100V 〜 240V の電源で動作します。その他の電源は絶対に使用しないでくださ い。異常発熱、火災、感電、故障などの原因となる恐れがあります。
・ 次の操作を実行する前には、必ずすべての電源接続を切ってください。
・ Ethernet やシリアルポートの電気的接続の変更
・ ラックからの筐体の取り外し
・ ヒューズの交換
本製品の設置について
本製品を安全に設置して操作していただくために、本製品の設置前に設置場所が適切に準備されて いるかどうかを確認してください。
・ 設置場所の電源を確認し、スパイクやノイズのない電力を確保できていることを確認します。
必要であれば、電力調整器を取り付けてください。
・ 室温が摂氏 0 〜 40 度の場所を選んでください。本製品は、一般的なオフィス環境で使用する ように設計されています。それ以外の場所に設置するときには、温度、湿度、電力の状態が本 製品の仕様を満たしていることを確認してください。
す。このため、建物の安全性能が本製品を保護するのに十分な基準を満たしていることを確認 してください。
・ 設置場所のレイアウトや設置位置を検討するときには、環境上の原因によるシャットダウンや 故障を回避するために、以下の事項に留意してください。本製品がシャットダウンしたり、エ ラーが起こる場合は、これらの事項を確認することで、不具合の原因を特定して今後のエラー を回避できます。
・ 本製品が稼動している部屋の換気を十分に行ってください。電気機器からは排気熱が出て います。室温をデバイスの許容動作温度まで下げるために、追加の換気システムが必要に なる場合もあります。
・ 乾燥して、清潔で、十分に換気が行われる空調の整った場所を選んでください。
その他の注意事項
・ 雷の発生時には、本製品で作業しないでください。特に本製品が導管となる可能性があるた め、ケーブルの接続や切断をしないでください。
注意
使用上の注意事項
・ 本製品のコネクタなどの差込み口に、指などを入れないようにしてください。ケガ、感電、故 障、事故などの原因となる恐れがあります。
電源、ケーブルについて
・ 濡れた手で電源コードを抜き差ししないでください。ケガ、感電、故障、事故などの原因とな る恐れがあります。
・ 各ケーブルは、本書で指示された所定のコネクタに接続してください。誤って接続すると、故 障の原因となる恐れがあります。
本製品の設置について
・ 本製品を在宅勤務環境などでお使いになる場合、小さなお子さまのいるご家庭では、お子さま の手の届かないところに保管、設置してください。ケガ、事故などの原因となる恐れがありま す。
・ 本製品は水平で安定した場所に横置きで設置してください。不安定な場所や傾斜した場所に設 置すると、転倒、落下、落下によるケガの原因となる恐れがあります。
・ 本製品の上に物を置いたり、換気を妨げるようなものを置いたりしないでください。転倒、落 下、落下によるケガの原因となる恐れがあります。
その他の注意事項
・ 本製品に水などの液体がかかった場合は、ただちに本製品の電源コードをコンセントから抜き 取ってください。感電、漏電の原因となる恐れがあります。
・ 本製品は日本国内での使用を前提に設計、製造されています。日本国以外では絶対に使用しな いでください。
・ 本製品を最終的に廃棄する場合は、各国の法律や規制に従ってください。
はじめに
はじめに
本書では、Trend Micro Network VirusWall Enforcer (以下、Network VirusWall Enforcer) の配置作 業に関連する基本情報を記載しています。本書は、Network VirusWall Enforcer の計画、配置、お よび事前設定を行う、初級者から上級者までを対象としています。
ここでは、次の項目について説明します。
・ 12 ページの「本書について」
・ 13 ページの「Network VirusWall Enforcer のドキュメント」
・ 14 ページの「対象読者」
・ 15 ページの「ドキュメントの表記規則」
本書について
本書では、Network VirusWall Enforcer の使用開始に関する詳細情報およびこのデバイスの概要と その設置方法について説明します。また、デバイスを使用してネットワークを保護する準備を行う ために、初期設定と配置の方法についても紹介します。
本書の内容
設置・設定ガイドでは、次の情報について説明します。
表P-1. 本書の内容
17 ページの「製品の概要」 Network VirusWall Enforcer とそのコンポーネントの概要、
および技術的な仕様
23 ページの「準備」 Network VirusWall Enforcer のデバイス本体とその仕様、
およびデバイスの設置方法と電源の投入方法の詳細 41 ページの「Network VirusWall
Enforcer の配置」
1 台または複数のデバイス配置計画に役立つ推奨事項
73 ページの「事前設定」 初期設定 (または事前設定) の実行手順と考慮事項 85 ページの「トラブルシュー
ティングとテクニカルサポート」
事前設定時に発生した問題を解決するためのヒント
Network VirusWall Enforcer のドキュメント
Network VirusWall Enforcer には、次のドキュメントが付属しています。
表P-2. Network VirusWall Enforcerのドキュメント
ドキュメント 形式 場所 適用範囲
設置・設定ガイド PDF ・ DVD-ROM
・ トレンドマイクロのダウ ンロードセンター
デバイスの設置、配置、
および初期設定につい て説明します
管理者ガイド PDF ・ DVD-ROM
・ トレンドマイクロのダウ ンロードセンター
機能、ポリシーの管理、
管理作業、およびトラ ブルシューティングに ついて説明します クイックスタートガ
イド
PDF と印刷 ドキュメント
・ DVD-ROM
・ トレンドマイクロのダウ ンロードセンター
・ 製品パッケージ
デバイスと初期作業の 概要を説明します
オンラインヘルプ Web ページ ・ Web コンソール Web コンソールのオプ ションと関連する作業 について説明します Readme ファイル テキスト ・ DVD-ROM
・ トレンドマイクロのダウ ンロードセンター
最新の情報とソフト ウェアビルドについて 説明します
ドキュメントとソフトウェアのアップデート
最新のドキュメントとソフトウェアのアップデートについては、次のトレンドマイクロのダウン ロードセンターを参照してください。
http://www.trendmicro.co.jp/download
対象読者
この設置・設定ガイドは、デバイスを配置するネットワーク管理者を対象としています。Network VirusWall Enforcer のドキュメントは、ネットワークの知識があり、ウイルス対策およびコンテン ツセキュリティの概念を理解していることを前提としています。
デバイスとソフトウェアのバージョン
本設置・設定ガイドは、次のデバイスおよびソフトウェアバージョンを使用する管理者向けに発行 されています。
表P-3. 対象デバイスおよびソフトウェア
製品情報 対象
デバイス Network VirusWall Enforcer 3600i ハードウェアのシリーズ R430 シリーズ
ソフトウェアバージョン 3.5 Service Pack 2
ドキュメントの表記規則
このドキュメントでは、次の表記規則を使用しています。
表P-4. 本書で使用している表記規則
表記 説明
注意:
設定上の注意
ヒント:
推奨事項
警告:
避けるべき操作や設定についての注意
第 1 章
製品の概要
この章では、Trend Micro Network VirusWall Enforcer (以下、Network VirusWall Enforcer) を紹介 すると共に、その重要な概念と機能について説明します。
この章は次の内容で構成されています。
・ 18 ページの「Network VirusWall Enforcer の概要」
・ 19 ページの「重要な概念」
・ 21 ページの「技術仕様と環境仕様」
Network VirusWall Enforcer の概要
Network VirusWall Enforcer はウイルスの大規模感染を予防するためのアプライアンスであり、
ネットワーク層における組織のセキュリティポリシーを強化します。Network VirusWall Enforcer は、ネットワークトラフィックを検索することで、急速に蔓延するネットワークウイルスの増殖を 防止します。また ARP スプーフィング攻撃を阻止して、セキュリティが重大な危険にさらされる可 能性を低減します。
Network VirusWall Enforcer は、感染したコンピュータを特定して、そのエンドポイントにクリー ンナップサービスを配信します。ネットワーク層で処理が行われるため、実際の感染元や潜在的な 感染元を効率的に隔離できます。Network VirusWall Enforcer は、感染したエンドポイント、脆弱 なソフトウェアがインストールされているエンドポイント、不正プログラムに対する十分な保護対 策のないエンドポイント、およびネットワーク利用ポリシーに違反するエンドポイントに対処しま す。
Network VirusWall Enforcer を使用すると、セキュリティポリシー違反に的確に対応し、不正プロ グラムによる大規模感染を事前に検出、阻止、および排除できます。Network VirusWall Enforcer をネットワークに配置することで、急速に蔓延する不正プログラムに起因するネットワークのダウ ンタイムを大幅に縮小し、個々のエンドポイントで不正プログラムに対処するコストを削減できま す。
図 1-1 は、Network VirusWall Enforcer でネットワークを保護するしくみを示しています。
図1-1. 基本的な配置 Web
コンソール
保護されるセグメント スイッチ
Network VirusWall Enforcer ルータ
重要な概念
このドキュメントの後続のセクションに進む前に、次の概念について確認してください。
表1-1. 本書で説明する重要な概念
概念 説明
MANAGEMENT ポート 管理のみに使用されます。MANAGEMENT ポートは 1 つしか指定 できません。
MIRROR ポート デバイスを通過するすべてのトラフィックをコンピュータに送信し て、すべてのデータを取得します。このデータはその後、デバッグ に使用できます。MIRROR ポートは 1 つしか指定できません。こ のポートタイプを使用すると、パフォーマンスに影響が生じること があります。
SNIFFER ポート スイッチからのパケットを受信し、検索します。SNIFFER ポートは 複数指定できます。
FAILOVER ポート フェイルオーバーによる配置で使用されている別の Network VirusWall Enforcer デバイスに接続します。FAILOVER ポートは 1 つしか指定できません。
REGULAR ポート セグメントが送受信する分析対象のトラフィックを転送します。
REGULAR ポートは複数指定できます。2 つのポートグループに属 している場合は、REGULAR ポートを SHARED ポートとして機能さ せることも可能です。
REGULAR ポートはブリッジポートとも呼ばれます。
フェイルオープン フォールトトレランスソリューションで、LAN バイパスとも呼ば れます。これによって、Network VirusWall Enforcer デバイス内で ソフトウェアやハードウェアの障害が発生した場合でも、トラ フィックは引き続きデバイスを通過できます。
フェイルオーバー 障害や予約されたダウンタイムによって Network VirusWall Enforcer デバイスが使用できなくなったときに、そのデバイスの機 能が別の Network VirusWall Enforcer デバイスに引き継がれる冗長 設定です。どちらのデバイスも同じ機能を実行しますが、管理作業 を実行できるのは指定された管理デバイスのみです。
管理デバイス フェイルオーバーペア内でデバイスの管理に使用される Network VirusWall Enforcer デバイスです。このデバイスのすべての設定が フェイルオーバーペアの他のデバイスに複製されます。フェイル オーバーペアの管理デバイスには、プライマリデバイスまたはセカ ンダリデバイスのいずれかを選択できます。
プライマリデバイス フェイルオーバーペア内のデバイスです。これは、フェイルオー バーペア内の初期設定の管理デバイスでもあります。
セカンダリデバイス 初期設定でプライマリデバイスのすべての設定を取得する、フェイ ルオーバーペア内のデバイスです。
ポートグループ ポートグループとは、通常 2 つ一組の REGULAR ポートですが、3 つ以上のポートを含めることもできます。トラフィックが SHARED ポートを通過する場合を除き、デバイスに出入する任意のトラ フィックは、同じポートグループに属するポートによって受信およ び送信されます。
リンクステートフェイル オーバー
ポートグループ内で接続を維持しているポートが 1 つのみになっ た場合に、機能しているポートをオフにするポートグループ設定で す。これにより、スイッチでポートグループの障害をすばやく認識 し、トラフィックが別のルートを通過できるようになります。別の ルートには、同じデバイス上の別のポートグループなどがありま す。ポートグループ内に SHARED ポートがある場合、この機能は 有効にきません。
事前設定コンソール Network VirusWall Enforcer デバイスの事前設定に使用されるコン ソールです。
事前設定の作業で、ポートや管理 IP アドレスを設定することによ り、Web コンソールへのアクセスが可能になります。
Web コンソール ポリシーの定義やデバイスの管理を行うためのブラウザベースの管 理コンソールです。
表1-1. 本書で説明する重要な概念 (続き)
概念 説明
技術仕様と環境仕様
Network VirusWall Enforcer の技術仕様について次の表にまとめます。
表1-2. 技術仕様
仕様 詳細
フォームファクタ 1U ラックマウント
重量 最大 19.9kg
寸法 (幅 x 奥行 x 高さ) 434 x 677 x 42.8mm
管理ポート 10/100/1000 BASE-T ポート x 1 データポート 10/100/1000 BASE-T ポート x 4 AC 入力電圧 100 〜 240VAC
AC 入力電流 7.4 〜 3.7A
HDD/RAID 1,000GB (RAID なし)
電源装置 550W ホットプラグ
消費電力 (最大) 604W
熱量 最大 2,133BTU/ 時
周波数 50/60Hz
動作時の温度 10 〜 35°C 保管時の温度 ‒40 〜 65°C
Network VirusWall Enforcer の環境仕様について次の表にまとめます。
表1-3. 環境仕様
仕様 詳細
温度 (動作時) 温度の情報についてはデルの Fresh Air 機能を参照
温度 (保管時) 1 時間あたり最大 20°C の温度変化で-40 〜 65°C (-40 〜 149°F) 相対湿度 (動作時) 最大湿球温度 29°C (84.2°F) で 20 〜 80% (結露しないこと) 相対湿度 (保管時) 最大湿球温度 38°C (100.4°F) で 5 〜 95%
最大耐久震度 (動作時)
全方向に 5 〜 350Hz で 0.26Grms
最大耐久震度 (保管時)
15 分間 10 〜 500Hz で 1.87Grms (6 つの面すべてテスト済み)
最大耐久衝撃 (動作時) パルス持続時間 2.6ms +/- 10% で、全動作方向に 31G +/- 5% のハーフ サイン衝撃
最大耐久衝撃 (保管時) パルス持続時間 2ms +/- 10% で 6 つの面すべてにおいて 71G +/- 5% の ハーフサイン衝撃、597cm/ 秒 (235 インチ / 秒) 以上の速度変化で 6 つの面すべてにおいて 27G のスクエアウェーブ衝撃
高度 (動作時) ‒15.2 〜 3,048m (‒50 〜 10,000 フィート)、高度が 2,950 フィート (約 899m) を超えると、動作時の最高温度は 550 フィート (約 168m) ごとに 1°F (-17.2°C) ずつ低下します。
高度 (保管時) ‒15.2 〜 10,668m (‒50 〜 35,000 フィート)
空気中浮遊汚染物質 クラス G2 またはそれ未満 (ISA-S71.04-1985 の定義による)
第 2 章
準備
この章では、Trend Micro Network VirusWall Enforcer (以下、Network VirusWall Enforcer) デバイ スの設定と電源の投入方法について説明します。
この章は次の内容で構成されています。
・ 24 ページの「パッケージ内容物」
・ 26 ページの「フロントパネル」
・ 29 ページの「バックパネル」
・ 30 ページの「デバイスポート」
・ 33 ページの「光ファイバネットワーク」
・ 35 ページの「拡張カードの取り付け」
・ 37 ページの「デバイスの設置」
パッケージ内容物
図 2-1 は、パッケージの内容物を示します。
図2-1. パッケージ内容物
注意: 実際のパッケージ内容物は、本書に示されているものと若干異なる場合があります。
パッケージ内容物がすべて揃っているかどうか確認するには、表 2-1 を参照してください。不足し ているものがある場合は、購入いただいた販売店にお問い合わせください (87 ページの「サポート サービスについて」を参照)。
表2-1. Network VirusWall Enforcerパッケージ内容物
数量 品目 説明
1 個 Network VirusWall Enforcer デバイス
デバイス本体とキーロック可能なベゼル
1 本 電源コード デバイスに電力を供給します。
1 セット ラックキット 標準の 19 インチラックキャビネットにデバ イスを設置するために使用します。
1 個 Network VirusWall Enforcer DVD
デバイスの OS とソフトウェアの復元に使用 できる DVD。この DVD には、いくつかの ツールと、以下のデバイスのドキュメントも 含まれています。
・ Network VirusWall Enforcer の OS のイ メージファイル
・ 使用許諾契約書
・ サードパーティのライセンス属性
・ 管理者ガイド
・ 設置・設定ガイド
・ クイックスタートガイド
・ Readme ファイル
・ Trend Micro Control Manager (以下、
Control Manager) の Patch
・ syslog および TFTP ツール
注意: 提供されているツールの使用方法に ついては、「管理者ガイド」のトラブ ルシューティングに関する項を参照 してください。
印刷版ドキュメント 3 冊
・ Security Appliance 使用許諾契約書
・ クイックスタートガ イド
・ Dell 製品情報ガイド
付属する印刷物については、パッケージに同 梱されている内容物一覧を参照してくださ い。Network VirusWall Enforcer を使用する 前に、これらのドキュメントを確認してくだ さい。
フロントパネル
取り外し可能なベゼルの裏側にあるフロントパネルには、図 2-2 に示すように、さまざまなコント ロール、インジケータ、コネクタ、および機能が配置されています。各要素の説明については、表 2-2 を参照してください。
図2-2. フロントパネル
表2-2. フロントパネルの機能
品目 インジケータ、ボタン、
またはコネクタ アイコン 説明
1 電源インジケータ、電源 ボタン
電源ボタンを押すと、デバイスの電源がオン またはオフになります。デバイスの電源がオ ンになるとインジケータが点灯します。
ヒント: デバイスを強制終了するには、電 源ボタンを 5 秒間押したままにし ます。
2 NMI ボタン NMI (Non-Maskable Interrupt) ボタンは、ソ フトウェアエラーやデバイスドライバエラー を解決するために使用します。このボタン は、クリップの先端を使って押すことができ ます。このボタンを使用するのは、認定され たサポート担当者から指示された場合のみに してください。
3 ビデオコネクタ モニタを接続します。ローカルにアクセスし
てデバイスを設定するために使用できます。
ベゼルの取り付け
デバイスには、図 2-3 に示すように取り外し可能なベゼルが付属しています。
図2-3. ベゼルを取り付けたNetwork VirusWall Enforcer
4 LCD メニューボタン 制御パネルの LCD メニューを操作できます。
LCD メニューボタンは認定されたサポート担 当者のみが使用できます。
5 LCD パネル デバイス ID、ステータス情報、およびシス テムエラーメッセージを表示します。
LCD パネルは認定されたサポート担当者のみ が使用できます。
6 USB コネクタ (2) USB2.0 準拠デバイスを接続します。これら のコネクタを使用して、キーボードを接続し たり、デバイスを直接設定したりします。
7 デバイス識別パネル エクスプレスサービスタグ、内蔵 NIC MAC アドレス、iDRAC6 Enterprise カード MAC ア ドレスを含むデバイス情報を提供するスライ ド式パネル。追加ラベル用のスペースが設け られています。
8 光学式ドライブ スリム SATA DVD-ROM ドライブ 1 台 9 ハードディスクドライブ 2.5 インチハードディスクドライブ 6 台ま
で。Network VirusWall Enforcer には 1 台の ハードディスクドライブが付属しています。
表2-2. フロントパネルの機能 (続き)
品目 インジケータ、ボタン、
またはコネクタ アイコン 説明
ベゼルを交換する場合は、ベゼルの右端をシャーシに掛けてから、左端をデバイスにはめ込みます。
キーロックでベゼルを固定します。
図2-4. ベゼルの取り付けと取り外し
1 ラッチ解除 2 キーロック
3 ベゼル 4 ヒンジタブ
3
2
1
4
4 3
2
1
ベゼルを取り外すには
1. ベゼルの左端のキーロックを解除します。
2. キーロックの横にあるラッチ解除バーを押し上げます。
3. ベゼルの左端をフロントパネルと反対の方向に回転させます。
4. ベゼルの右端をフロントパネルから外し、ベゼルをデバイスから取り外します。
バックパネル
デバイスのバックパネルには、図 2-5 に示すように、さまざまなコントロール、インジケータ、お よびコネクタが配置されています。
図2-5. バックパネル
NIC 拡張スロットで使用可能なネットワークポートの数は、デバイスモデルによって異なります。
基本モデルでは、次の画像に示すとおり、6 つのネットワークポートの内 4 つ (ポート 3 〜 6) を増 設するための拡張スロットを 1 つだけ装備しています。
図2-6. 標準的な6ポート設定
データポート3〜6
管理用ポート1〜2 オプションのネットワークカード用拡張 スロット (ポート7〜8)
デバイスポート
Network VirusWall Enforcer は、最大 8 のネットワークポートをサポートします。最初の 2 つの ポート (ポート 1 〜 2) は管理機能を提供します。具体的には、これらのポートを MANAGEMENT ポート (MGMT)、MIRROR ポート (MIRR)、SNIFFER ポート (SNIF)、および FAILOVER ポート (FOV) として設定できます。残りのポート (ポート 3 〜) は、ネットワークに接続してセキュリティ機能を 提供する通常 (REG) のデータポートです。Network VirusWall Enforcer は、これらのデータポート を通過するパケットに保護機能を適用します。
図2-7. 標準的な6ポート設定
注意: FAILOVER ポートは、別の同一デバイスへの接続に使用されます。このポートタイプを使 用して接続されたデバイスは、フェイルオーバーペアを形成します。これにより、アク ティブデバイスがオフラインになっても、常に一方のデバイスがアクティブ、もう一方の デバイスがバックアップとして機能する可用性の高い設定が実現します。
ポートの機能
Network VirusWall Enforcer のポートは、その機能に基づいて分類できます。前述したとおり、
ポートには通常のデータポートと管理用ポートがあります。管理用ポートには、以下の表に示す異 なる機能を割り当てられます。
データポート3〜6 管理用ポート1〜2
オプションのネットワークカード用拡張 スロット (ポート7〜8)
表2-3. ポートタイプ タイプ (インタ フェースタイプ、
ポート番号)
機能 (コード) 初期設定の
状態 説明
データポート (銅線または光 ファイバ、ポー ト 3 〜)
REGULAR (REG) ポート 3 お よび 4 のみ 有効
ポリシー施行に使用される標準ポート です。Network VirusWall Enforcer は、
L2 または L3 スイッチを経由してこの ポートに接続されるエンドポイントに アクセスできます。
管理用ポート (銅線、ポート 1
〜 2)
MANAGEMENT (MGMT)
無効 Web コンソールにはすべての REGULAR ポートからアクセスできま すが、1 つのポートを Web コンソール へのアクセス専用に設定したり、デバ イス管理専用に設定したりすることも できます。
MIRROR (MIRR) この機能によって、デバイスを通過す るすべてのトラフィックがこのポート から送信されます。このポートを使用 してすべての検索対象データを取得 し、デバッグに使用できます。
MIRROR ポートを設定すると、パ フォーマンスに影響が生じることがあ ります。
SNIFFER (SNIF) REGULAR ポート同様、SNIFFER ポー トはパケットを受信して検索できま す。SNIFFER ポートでは、ポリシー施 行に応じてエンドポイントをブロック したり隔離したりすることはできませ ん。SNIFFER ポートは複数指定できま す。
FAILOVER (FOV) フェイルオーバーペアを形成するに は、2 つの Network VirusWall Enforcer デバイスをそれぞれの FAILOVER ポートを介して接続します。
データポートアダプタ
管理用ポートが内蔵ポートであるのに対して、Network VirusWall Enforcer のデータポートは次の サーバアダプタのいずれかを使用して提供されます。これらのアダプタは、光ファイバまたは銅線 用バイパス回路を使用して障害発生時等にネットワークの切断時間を最小限に抑えます。
・ Silicom PEG4BPi-SD-RoHS (クァッドポート銅線用ギガビット Ethernet PCI-Express バイパス サーバアダプタ)
・ Silicom PE2G4BPI35-SD-OU-ROHS (クァッドポート銅線用ギガビット Ethernet PCI-Express バ イパスサーバアダプタ)
・ Silicom PEG2BPI6-SD-OU-ROHS (デュアルポート銅線用ギガビット Ethernet PCI-Express バイパ スサーバアダプタ)
・ Silicom PEG2BPFI6-SD-OU-ROHS (デュアルポート光ファイバ (SX) ギガビット Ethernet PCI-Express バイパスサーバアダプタ)
・ Silicom PEG2BPFI6-LX-SD-OU-ROHS (デュアルポート光ファイバ (LX) ギガビット Ethernet PCI-Express バイパスサーバアダプタ)
バイパスサーバアダプタを使用することで、Network VirusWall Enforcer のデータポートは、「フェ イルオープン」または「LAN バイパス」として知られるフォールトトレランスソリューションを実 現します。このソリューションにより、他のデバイスコンポーネントで障害が発生したりデバイス の電源が切れたときでも、Network VirusWall Enforcer での継続的なネットワークトラフィックの 通過が可能になります。
注意: 管理用ポートではフェイルオープンはサポートされません。
ネットワークポートインジケータ
Network VirusWall Enforcer の各ポートには、そのポートの現在のステータスを示すインジケータ があります。
内蔵ポートのインジケータ
バックパネルにある各内蔵ポート (ポート 1 〜 4) には、ネットワークアクティビティとリンクス テータスの情報を示すインジケータがあります。次の図と表は、内蔵ポートのインジケータについ て説明しています。
図2-8. 内蔵ポートインジケータ
銅線用拡張カードのインジケータ
Network VirusWall Enforcer の拡張スロットには銅線用サーバアダプタを装備できます。これらの カードの各ポートは、次の情報を提供する 3 つの LED インジケータに対応します。
・ リンク / アクティビティ (上部 LED、緑色) ― すべての速度で点灯し、アクティビティで点滅
・ 100 (中央 LED、緑色) ― 100Mbps で接続している場合に点灯
・ 1000 (中央 LED、緑色) ― 1000Mbps で接続している場合に点灯
光ファイバ拡張カードのインジケータ
Network VirusWall Enforcer には光ファイバサーバアダプタカードを装備できます。これらのカー ドの各ポートは、次の情報を提供する 2 つの LED インジケータに対応します。
・ リンク / アクティビティ ― 接続時は点灯 (黄色)、アクティビティで点滅 (緑色)
・ バイパス ― バイパス / フェイルオープンがアクティブな場合は点灯 (緑色)
光ファイバネットワーク
Network VirusWall Enforcer には、銅線用拡張カード (Silicom PEG4BPi) または光ファイバ拡張カー ドを増設できます。Network VirusWall Enforcer1 つ目の拡張スロットに増設できる光ファイバサー バアダプタには次のものがあります。
・ Silicom PEG2BPFI6-SD-OU-ROHS (デュアルポート光ファイバ (SX) ギガビット Ethernet PCI-Express バイパスサーバアダプタ)
1 リンクインジケータ 2 アクティビティインジケータ
1 2
・ Silicom PEG2BPFI6-LX-SD-OU-ROHS (デュアルポート光ファイバ (LX) ギガビット Ethernet PCI-Express バイパスサーバアダプタ)
光ファイバメディアコネクタの選択
Network VirusWall Enforcer の光ファイバサーバアダプタのコネクタは LC タイプです。ネットワー クスイッチで SC コネクタを使用する場合は、正しい光ファイバケーブル (光ファイバワイヤ) を選 択して接続する必要があります。SC/LC 光ファイバアダプタも必要になります。
図2-9. SC/LC光ファイバケーブルの2つの先端
表 2-4 は、シングルモードまたはマルチモードの光ファイバケーブルのコネクタの種類を示してい ます。
表2-4. 光ファイバケーブルとコネクタ
光ファイバケーブル スイッチ モード
マルチモード Duplex 光ファイバケー ブル LC/LC コネクタ
GBIC、LC マルチモード、LC
マルチモード Duplex 光ファイバケー ブル SC/LC コネクタ
GBIC、SC マルチモード、LC
シングルモード Duplex 光ファイバ ケーブル SC/LC コネクタ
GBIC、SC シングルモード、LC SC側の先端 LC側の先端
拡張カードの取り付け
警告: デバイスカバーを取り外し、デバイス内部のコンポーネントに触れることができるのは、
訓練を受けたサービス技術者のみです。この手順を開始する前に、デバイスに同梱されて いる安全に関する指示をお読みください。
1. 拡張カードを箱から出し、取り付けの準備をします。手順については、カードに付属している ドキュメントを参照してください。
2. デバイスおよび接続されているすべての周辺機器の電源をオフにし、電源コンセントからデバ イスを外します。
3. デバイスカバーを開きます。
4. 拡張カードラッチを開き、フィラーブラケットを取り外します。
5. 拡張カードを取り付けます。
a. カードの両端を持って、カードエッジコネクタを拡張カードライザの拡張カードコネクタ に合わせます。
b. カードエッジコネクタを拡張カードコネクタにしっかりと挿入し、カードを固定します。
c. 拡張カードラッチを閉じます。
図2-10. 拡張カードの取り付けまたは取り外し
6. すべてのケーブルを拡張カードに接続します。
7. デバイスカバーを閉じます。
拡張カードの取り外し
警告: デバイスカバーを取り外し、デバイス内部のコンポーネントに触れることができるのは、
訓練を受けたサービス技術者のみです。この手順を開始する前に、デバイスに同梱されて いる安全に関する指示をお読みください。
1. デバイスおよび接続されているすべての周辺機器の電源をオフにし、電源コンセントからデバ イスを外します。
2. デバイスカバーを開きます。
3. すべてのケーブルをカードから外します。
1 拡張カードラッチ 2 拡張カード
3 拡張カードライザ 3
2 1
a. 拡張カードラッチを開きます。
b. 拡張カードの両端をつかんで、拡張カードコネクタから慎重に取り外します。
5. 拡張カードを取り外したままにする場合は、空の拡張カードスロット開口部に金属製のフィ ラーブラケットを取り付けて、拡張カードラッチを閉じます。
注意: 米国連邦通信委員会 (FCC) のシステム認可に準拠するためには、使用していない拡張 カードスロット開口部にフィラーブラケットを取り付ける必要があります。ブラケッ トには、デバイスをほこりや汚れから守り、デバイス内部の適切な冷却と換気を確保 する役割もあります。
6. デバイスカバーを閉じます。
デバイスの設置
Network VirusWall Enforcer を使用するには
・ 標準の 19 インチ 4 ポストラックキャビネットに設置すること
このデバイスでは、ラック内に 1 ラックユニット (RU) 分の垂直スペースが必要です。
ヒント: 複数のデバイスを設置する場合は、各デバイスを近い場所に配置し、設置してくだ さい。近くに設置することで、デバイスの保守作業が容易になります。
・ 安定した平面に自立式デバイスとして設置すること
自立式デバイスとして設置する場合は、適切な換気と冷却が確保されるように、周囲に 5.08cm (2 インチ) 以上の間隔を必ず空けてください。
警告: ファン通気口を塞がないでください。
デバイスを設置するには、次の作業を実行します。
警告: 次の作業を実行する前に、デバイスに同梱されている製品情報ガイドで安全に関する指示 をお読みください。
手順1: デバイスの開梱
デバイスを箱から取り出します。Network VirusWall Enforcer のラックキットはネジが不要なため、
非常に簡単に使用できます。ラックキットには、レールセットとベルクロストラップが 2 つずつ含 まれています。
手順2: レールの組み立てとラックへのデバイスの設置 レールを組み立てて、デバイスをラックに設置します。
注意: ハードウェアコンポーネントとラックキットの組み立て手順の詳細については、Dell PowerEdge R430 のドキュメント
(http://www.dell.com/support/home/jp/ja/19/product-support/product/poweredge-r430/
research) を参照してください。
手順3: キーボードとモニタの接続 (必要な場合)
図2-11. キーボードとモニタの接続
キーボードとモニタを接続します。デバイスの背面にあるコネクタには、各コネクタに接続されて いるケーブルを示すアイコンがあります。モニタのケーブルコネクタのネジを必ず締めてください (ある場合)。
手順4: 電源ケーブルの接続
図2-12. 電源ケーブルの接続
電源ケーブルをデバイスに接続します。モニタを使用する場合は、モニタの電源ケーブルをモニタ に接続します。
手順5: 電源コードの固定
図2-13. 電源コードの固定
図のようにデバイスの電源ケーブルを曲げて輪状にし、同梱されているストラップを使用してケー ブルをブラケットに固定します。
接地電源コンセント、または無停電電源装置 (UPS) や電力配分装置 (PDU) などの独立電源に電源 ケーブルの一方の先端を差し込みます。
手順6: デバイスの電源投入
図2-14. デバイスとモニタの電源投入
デバイスおよびモニタの電源ボタンを押します (必要な場合)。電源インジケータが点灯します。
手順7: ベゼルの取り付け (必要な場合)
図2-15. ベゼルの取り付け
第 3 章
Network VirusWall Enforcer の配置
Trend Micro Network VirusWall Enforcer (以下、Network VirusWall Enforcer) デバイスを設定する 前に、デバイスをネットワークに統合する方法を計画します。デバイスでサポートするトポロジを 決定してください。
この章では、配置を計画する方法について説明します。また、デバイスを使用してネットワークを 保護するさまざまな方法を理解しやすくするために、配置のシナリオについても紹介します。
この章は次の内容で構成されています。
・ 42 ページの「配置の計画」
・ 45 ページの「保護対象の特定」
・ 55 ページの「ネットワークトラフィックの計画」
・ 56 ページの「高可用性とフォールトトレランス」
・ 60 ページの「テスト配置の実施」
・ 61 ページの「配置方針の再検討」
・ 61 ページの「配置シナリオ」
配置の計画
Network VirusWall Enforcer が組織にもたらす利点を生かすには、1 台または複数台のデバイスを配 置するさまざまな方法を理解する必要があります。このセクションでは、配置の概要と重要な考慮 事項について説明します。
注意: このバージョンでは、2 つのポートグループを使用する単一デバイス環境でのみ EtherChannel がサポートされます。
配置の概要
デバイスを適切に配置するには、3 つの段階があります。
ヒント: 本書では、フェーズ 1 と 2 について説明します。フェーズ 3 に関連する手順について は、「管理者ガイド」を参照してください。
フェーズ1: 配置の計画
フェーズ2: 事前設定の実行
ネットワーク情報の収集 配置方針の決定
テスト配置の実施 配置方針の再検討
事前設定の準備 事前設定の実行
ネットワークへのデバイスの接続
コンポーネントの配置 基本設定の実行
フェーズ3: デバイスの管理
フェーズ 1: 配置の計画
フェーズ 1 では、最も適切にデバイスを配置する方法を計画します。そのために、次の作業を実行 します。
・ 最も保護が必要なネットワークセグメントを特定します。
・ メールサーバ、Web サーバ、アプリケーションサーバなど、重要なコンピュータの場所を 考慮して、ネットワークトラフィックを計画します。
・ セキュリティの要件を満たすために必要なデバイスの数とネットワーク上の配置場所を決 定します。
・ ネットワークのテストセグメントでテスト配置を実施します。
・ テスト配置の結果に基づいて配置方針を再検討します。
フェーズ 2: 事前設定の実行
フェーズ 2 では、フェーズ 1 で作成した計画を実行に移します。そのために、次の作業を実行しま す。
・ 事前設定の準備を行います (74 ページの「事前設定を実行する前に」を参照)。
・ デバイスで事前設定を実行します (76 ページの「事前設定の実行」を参照)。
・ デバイスをネットワークに接続します (82 ページの「ネットワークへの接続」を参照)。
フェーズ 3: デバイスの管理
フェーズ 3 では、Web コンソールから Network VirusWall Enforcer デバイスを管理します。この フェーズについては、「管理者ガイド」の次のセクションを参照してください。
・ 「製品について」には、管理オプション、エンドポイント、セキュリティリスク、ポリシー施 行、デバイスポート、高可用性とフォールトトレランス、アップデート可能なコンポーネン ト、SNMP のサポート、および VLAN のサポートなど、関連する概念の詳細が記載されていま す。
・ 「ポリシー施行の準備」では、ポリシーを作成してネットワークに配置する前に実行する必要 がある作業について説明します。
・ 「ポリシーの作成と配信」では、実際のポリシー作成について説明し、シナリオの例と手順を 示します。
配置に関する注意事項
配置を計画する際には、次の点を考慮してください。
・ ネットワークセグメントが送受信するトラフィックはすべて、デバイスを通過する必要があり ます。
ネットワーク上の脅威から組織を保護するには、ネットワークセグメントの重要な場所にデバ イスを配置してください。デバイスは、脅威を予防、検出、または阻止するために、すべての ネットワークトラフィックを検索できなければなりません。
・ 各インタフェースでは、次のポート速度と二重モードの設定がサポートされます。
注意: 接続されている L2/L3 デバイスと Network VirusWall Enforcer デバイスはどちらも、
ポート速度と二重モードの設定が同じでなければなりません。設定が異なると、
Network VirusWall Enforcer ポートは半二重モードで動作します。設定を簡略化する ために、Network VirusWall Enforcer を、最適なポート速度と二重モードを自動的に 選択するように設定できます。同様に、スイッチがポート速度と二重モードを自動的 に選択するようにすることもできます。
・ IPv4 アドレスの場合、デバイスでは、クラス A、B、および C のすべてのクラスに属するアド レスがサポートされます。IPv6 アドレスの場合、グローバルユニキャストアドレスおよびリン クローカルアドレスがサポートされます。
ヒント: 範囲はクラスごとに異なりますが、内部ネットワークには特定の範囲を使用する必 要はありません。ただし、固定範囲を選択すると、IP アドレスの競合の可能性が大 幅に減少します。
・ ポリシー施行とネットワークウイルス検索では、ポリシーに準拠していないエンドポイントや 感染したエンドポイントに対するさまざまな処理をサポートします。
・ 10Mbps x 半二重
・ 10Mbps x 全二重
・ 100Mbps x 半二重
・ 100Mbps x 全二重
・ 1000Mbps x 全二重
保護対象の特定
Network VirusWall Enforcer は、レイヤ 2 (L2) デバイスまたはレイヤ 3 (L3) デバイス間に配置しま す。これによって、デバイスは、ネットワークで送受信されるパケットに対する保護を実施できま す。
セキュリティリスクをもたらしたり、セキュリティポリシーに違反したりする可能性があるエンド ポイントの種類を考慮して、保護するネットワークのセグメントを特定します。また、組織に不可 欠なリソースの場所も考慮してください。たとえば、次のような例があります。
・ 内部ネットワークリソースにアクセスするリモートエンドポイント
・ ネットワークに一時的に接続するゲストエンドポイント
・ 主要ネットワークセグメント / 重要なネットワーク資産 (メールサーバ、Web サーバ、アプリ ケーションサーバを含むネットワーク上の場所など)
リモートアクセスエンドポイント
リモートエンドポイントはネットワーク上の既存のエンドポイントと同じ方法で内部ネットワーク リソースにアクセスし、実質的には別の内部ネットワークセグメントに属します。内部エンドポイ ントと同様にリモートエンドポイントを保護するかどうかを検討する必要があります。
次の 2 種類のリモートエンドポイントについて検討してみます。
・ ダイヤルアップ/VPNユーザ ― 通常は、ダイヤルアップまたは VPN を使用してネットワーク に接続する在宅勤務者です。
・ 外部事業体 ― メインネットワーク上のリソースにアクセスする必要がある、メインネット ワークサイトの外部にあるオフィスです。
ホームユーザは、ダイヤルアップ接続または VPN 接続を確立して、会社の内部ネットワークリソー スにアクセスできます。事業体はほとんどの場合、VPN 接続を確立します。
図3-1. ダイヤルアップサービスの配置シナリオ
図 3-1 は、ホームユーザと組織の内部ネットワーク間のダイヤルアップ接続を示しています。RAS サーバはダイヤルアップ接続の終端ポイントであり、REGULAR ポートに接続されています (各種 ポートについては、19 ページの「重要な概念」を参照)。そのため、RAS サーバと LAN 間で送受信 されるすべてのパケットがデバイスを通過します。ホームユーザが RAS サーバとの接続を確立する と、基本的な配置シナリオ (62 ページの「基本的な配置」を参照) に示されているように、実質的 に内部ネットワークの一部となります。ホームユーザは、内部エンドポイントと同様に、ネット ワークリソースとインターネットの両方にアクセスします。
図3-2. エンドポイントとサイト間のVPNの配置シナリオ RASサーバ
ダイヤルアップ エンドポイント 公衆交換電話網
LANへ
エンドポイント
インターネット アクセス
スイッチ VPNサーバ
VPNトンネル
LANへ
図 3-2 は、ホームユーザと組織の内部ネットワーク間の接続を示しています。ただし、VPN サーバ が REGULAR ポートに接続されています (各種ポートについては、19 ページの「重要な概念」を参 照)。この設定では、ホームユーザの VPN 接続が内部ネットワークの一部であると見なされます。
注意: Network VirusWall Enforcer は、VPN トラフィックの暗号化と復号化を行う VPN サーバの 背後に配置する必要があります。
このシナリオで推奨される設定は、ダイヤルアップユーザのシナリオの設定と同じです (図 3-1 を 参照)。
図3-3. サイト間のVPNの配置シナリオ
図 3-3 は、2 つの事業体の間の VPN 接続を示しています。ホームユーザのシナリオと同様に、VPN サーバは各デバイスの REGULAR ポートに接続されています (各種ポートについては、19 ページの
「重要な概念」を参照)。
事業体A VPNトンネル 事業体B
ネットワークA ネットワークB
ゲストエンドポイント
ゲストエンドポイントは、内部ネットワークドメインに属さないエンドポイントです。多くの場合、
ノートパソコンなどによりネットワークリソースに一時的にアクセスする利用者です。通常、ゲス トエンドポイントはネットワークのセキュリティインフラストラクチャの範囲外にあるため、大き なリスクとなります。これらのエンドポイントは、ウイルス対策ポリシーに違反したり、ネット ワークにセキュリティリスクをもたらしたりする可能性があります。
図3-4. ゲストネットワークの配置シナリオ
図 3-4 は、ゲストエンドポイント用の内部ネットワークのセグメントを示しています。無線アクセ スポイント、スイッチ、またはハブは、REGULAR ポートに接続されています (各種ポートについて は、19 ページの「重要な概念」を参照)。このタイプのトポロジでは、トラフィックがゲストネッ トワークセグメントから送信される前にデバイスによってすべて検索され、ウイルス大規模感染が 発生した際にはゲストセグメントが隔離されます。
ゲストエンドポイント ゲストエンドポイント
主要なセグメントおよび不可欠な資産
主要ネットワークセグメントは、ネットワークベースの脅威から保護する必要があります。これに は、エンドポイントコンピュータのグループや、メールサーバ、Web サーバ、アプリケーション サーバなど、組織に不可欠なネットワークリソースがあります。
図3-5. 主要ネットワークセグメントのシナリオ
上の図は、メールサーバ、Web サーバ、エンドポイントを含む内部ネットワークのセグメントを示 しています。内部スイッチまたはハブは、REGULAR ポートに接続され (各種ポートについては、19 ページの「重要な概念」を参照)、セグメントが送受信するすべてのパケットを検索できるセグメン トを形成しています。この場所にデバイスを配置することで、ウイルス検索や、ウイルス大規模感 染が発生した際のセグメント隔離の利点をさらに生かすことができます。
このデバイスでは、インターネットからの攻撃だけでなく、ネットワーク内部からの攻撃に対して も保護することができます。トラフィックがメールサーバや Web サーバに到達する前にデバイスを 通過するため、デバイスは、LAN 上のエンドポイントから送信された感染したパケットを検索して 検出できます。
不可欠なホスト L2スイッチ
L3スイッチ
デュアルスイッチ VLAN 環境
Network VirusWall Enforcer は、セキュリティを確保するために、物理ネットワーク上に配置する 必要があります。これはほとんどの場合、1 つの上位のスイッチと 1 つまたは複数の下位のスイッ チの間に配置することを意味します。
ほとんどの VLAN 設定では 2 つのスイッチが使用されます。ただし、シングルスイッチ VLAN 設定 も可能です。詳細については、53 ページの「シングルスイッチ VLAN 環境」を参照してください。
このセクションの図は、並列トポロジにおける複数の下位のスイッチを示していますが、直列設定 における単一のスイッチも可能です。
図 3-6 では、上位のスイッチと下位のスイッチの間にデバイスが配置されています。この設定は、
複数の VLAN で適度なネットワークトラフィックを伝送し、上位のスイッチで高帯域幅のトラ フィックを伝送する場合に適しています。
注意: スパニングツリープロトコル (STP) が有効になっていることを確認してください。STP が 有効でない場合は、パケットが無限にループすることがあります。
図3-6. 各デバイスが1つのセグメントを保護する複数のVLANセグメント 802.1Qトランク
VLAN 10 VLAN 20 VLAN 30
図 3-6、では、2 つのスイッチ間の 802.1Q トランク上にデバイスが配置されています。
図3-7. 各デバイスがすべてのセグメントを保護する複数のVLANセグメント VLAN 10VLAN 20VLAN 30
