なお ここでは ECL2.0 のロジカルネットワークを下記のような設定で作成しております お客さまの NW 構成に応じて適宜 アドレスを変更してください ロジカルネットワーク1( インターネット側 ) サブネット名 :sub-nw-inet 01 ネットワークアドレス : /

MFW(Managed FireWall)

以下のような

上記図のように インターネット インターネット ロジカルネットワーク → http://www.cloudn または、

MFW(Managed FireWall)

のような NW

上記図のように仮想サーバ、 インターネット GW、ロジカルネットワークの作成方法については インターネット GW → ロジカルネットワーク http://www.cloudn-service.com/guide/manuals/html/vpcclosednw/rsts/Migration_tool/Linux/vpn_connect.html#logicalnw または、 http://www.cloudn 192.168.111.0/29 ロジカルネットワーク１（インターネット側） グローバル IP 1)153.153.1○▲ 2)153.153.1×○

MFW(Managed FireWall)

NW

を前提とします

仮想サーバ、インターネット 、ロジカルネットワークの作成方法については → https://ecl.ntt.com/documents/tutorials/rsts/Network/internet.html ロジカルネットワーク service.com/guide/manuals/html/vpcclosednw/rsts/Migration_tool/Linux/vpn_connect.html#logicalnw http://www.cloudn-service.com/guide/manuals/html/vpcclosednw/rsts/Migration_tool/Windows/vpn_connect.html#logicalnw

Inter

net-R

MFW

W

VM

(Cent)

Server01 172.28.1. 192.168.111.0/29 ロジカルネットワーク１（インターネット側） 172.28.1.33 ○▲.147 ×○.20

MFW(Managed FireWall)のインターネット

とします。

インターネット GW、ロジカルネットワーク、 、ロジカルネットワークの作成方法については https://ecl.ntt.com/documents/tutorials/rsts/Network/internet.html service.com/guide/manuals/html/vpcclosednw/rsts/Migration_tool/Linux/vpn_connect.html#logicalnw service.com/guide/manuals/html/vpcclosednw/rsts/Migration_tool/Windows/vpn_connect.html#logicalnw

Inter

R

FW

VM

(Cent)

Server01 172.28.1.52 ロジカルネットワーク１（インターネット側） 172.28.1.33（port5 192.168.111.1（

のインターネット接続設定

、ロジカルネットワーク、 、ロジカルネットワークの作成方法については https://ecl.ntt.com/documents/tutorials/rsts/Network/internet.html service.com/guide/manuals/html/vpcclosednw/rsts/Migration_tool/Linux/vpn_connect.html#logicalnw service.com/guide/manuals/html/vpcclosednw/rsts/Migration_tool/Windows/vpn_connect.html#logicalnw FW設定情報 Internet-GW port5） （port4） Server02

接続設定について

、ロジカルネットワーク、MFW 、ロジカルネットワークの作成方法については下記のマニュアルを参考にして https://ecl.ntt.com/documents/tutorials/rsts/Network/internet.html service.com/guide/manuals/html/vpcclosednw/rsts/Migration_tool/Linux/vpn_connect.html#logicalnw service.com/guide/manuals/html/vpcclosednw/rsts/Migration_tool/Windows/vpn_connect.html#logicalnw

VM

(Cent)

ECL2.0 Tenant

GW設定情報 172.28.1. Server02

について

MFW を作成します。 下記のマニュアルを参考にして https://ecl.ntt.com/documents/tutorials/rsts/Network/internet.html service.com/guide/manuals/html/vpcclosednw/rsts/Migration_tool/Linux/vpn_connect.html#logicalnw service.com/guide/manuals/html/vpcclosednw/rsts/Migration_tool/Windows/vpn_connect.html#logicalnw

ECL2.0 Tenant

172.28.1.53 172.28.1.32/27 ロジカルネットワーク２（内部 を作成します。 下記のマニュアルを参考にしてください。 https://ecl.ntt.com/documents/tutorials/rsts/Network/internet.html service.com/guide/manuals/html/vpcclosednw/rsts/Migration_tool/Linux/vpn_connect.html#logicalnw-create service.com/guide/manuals/html/vpcclosednw/rsts/Migration_tool/Windows/vpn_connect.html#logicalnw

ECL2.0 Tenant

172.28.1.32/27 ロジカルネットワーク２（内部 NW 側） service.com/guide/manuals/html/vpcclosednw/rsts/Migration_tool/Windows/vpn_connect.html#logicalnw-create

なお、ここでは、ECL2.0 のロジカルネットワークを下記のような設定で作成しております。 お客さまの NW 構成に応じて適宜、アドレスを変更してください。 ロジカルネットワーク１（インターネット側） サブネット名：sub-nw-inet—01 ネットワークアドレス：192.168.111.0/29 ゲートウェイ IP：192.168.111.1 DHCP：有効 ロジカルネットワーク２（内部ネットワーク側） サブネット名：sub-nw-inet—01 ネットワークアドレス：172.28.1.32/27 ゲートウェイ IP：172.28.1.33 DHCP：有効

また、インターネットゲートウェイは以下のように設定しております。 ・IP アドレス情報

ゲートウェイ IPv4 アドレス プライマリ IPv4 アドレス セカンダリ IPv4 アドレス ネットマス

ク VRRP グループ ID 192.168.111.6 192.168.111.5 192.168.111.4 29 1 また、以下の方法でグローバル IP を取得しております インターネットゲートウェイの詳細画面のグローバル IP のタブをクリックし、グローバル IP の追加ボタンを押してグ ローバル IP を追加してください。 今回の例では以下の IP が追加されたものとします。 グローバル IP（実際には○▲、x○の部分には正しい IP の表記が入ります。） 1)153.153.1○▲.147 2)153.153.1×○.20 グローバル IP の追加ボタンをクリックしてグローバル IP を追加

ここから先、MagedFW(MFW)の設定について説明いたしますが、MFW ルールは以下のようなポリシーで設定します。 お客さまの状況に応じて各パラメーターを変更してください。

Server01〜02 はグローバル IP1)、2)で NAT してインターネット側へアクセス可能（アドレスおよびポート制限 なく、全プロトコルでアクセス可能）、

インターネット側からは特定の IP からのみグローバル IP 経由で Server1,Server2 へアクセス可能（ポート制限 なく、全プロトコルでアクセス可能）

ここでは特定の IP を 153.156.**.214、153.156.**.215 と表記します。実際の場合は実在する接続元 IP を設定する ことが必要となります。

１ MFW(ManagedFireWall)の作成について

MFW 作成方法の詳細は下記リンクをご参照ください。 https://ecl.ntt.com/documents/tutorials/security/rsts/security/order/managed_firewall_utm/order_new_sin gle.html 対象テナントのコントロールパネルを開きクラウドコンピューティングを選択します。 次にネットワークを選択し、マネージドファイアウォールをクリックして SecurityMenu 画面を表示します。 画面が表示されたら“Managed Firewall/Managed UTM”の横にある”Order”をクリックします

デバイス追加画面が表示されたら申込み種別で“デバイス追加”を選択し、デバイス情報で“メニュー”、“プラン”、“構成“、” ゾーン/グループ“を選択してください。 今回は以下のように選択した例で説明します。 メニュー：Managed Firewall プラン： ２CPU-4GB 構成 ： Single ゾーン/グループ：zone1-groupb

“Managed Firewall”が作成されたら“Order”ボタンの横に“Operation”ボタンが表示されますので クリックして設定を始めてください。

“Operation”ボタンを押して上記の設定画面が表示されたら”UTM Port Management”をクリックして設定を始めて ください。

インターフェイスの設定

”UTM Port Management”の設定画面が表示されたら“Manage Interfaces”ボタンをクリックしてポートの有効化 とロジカルネットワークとの接続を⾏ってください。

設定画面が表示されたらまず Port4 の設定を⾏ってください。 Port4 の⾏を選択して“編集”ボタンをクリックしてください。

“編集”ボタンを押したら Port4 にロジカルネットワークを接続する設定を⾏います。 詳細は https://ecl.ntt.com/documents/tutorials/security/rsts/security/operation/managed_firewall_utm/3110_inte rface_single.html をご参照ください。 ここではあらかじめ作成しているロジカルネットワーク 1（インターネット側） 今回の例では以下のように設定します。 EnablePort：チェックを入れる。 IPAddress[CIDR]:192.168.111.1/29 MTU Size:1500(default) Network ID:プルダウンで表示されますので接続するロジカルネットワーク 1 を選択してください。 SubnetID：ロジカルネットワークの Subnet192.168.111.0/29 を選択してください。 設定が済んだら”保存”ボタンを押してください。

同様に、Port5 の設定画面に入りロジカルネットワークを接続する設定を⾏います。 ここではあらかじめ作成しているロジカルネットワーク２（内部ネットワーク側）に接続します。 今回の例では以下のように設定します。 EnablePort：チェックを入れる。 IPAddress[CIDR]:172.28.1.33/27 MTU Size:1500(default) Network ID:プルダウンで表示されますので接続するロジカルネットワーク２を選択してください。 SubnetID：ロジカルネットワークの Subnet172.28.1.32/27 を選択してください。 設定が済んだら”保存”ボタンを押してください。 Port4.Port5 の設定が済んだら“今実⾏”ボタンをクリックしてください。 クリックしてください。

設定が反映されたらステータス成功と表示されますので画面を閉じてください。

クリックして画面を閉じてください。

UTM-***で始まる部分を選択し、 右クリックでデバイス管理を選択します。

Routing(デフォルトルート) の設定

① Routeing を選択してください。 ② “追加”をクリックしてください。

インターネット側への Routing 設定の追加を⾏います。 詳細は https://ecl.ntt.com/documents/tutorials/security/rsts/security/operation/managed_firewall_utm/4210_rout ing_single.html をご参照ください。 今回の例では以下のように設定します。 Destination IP：0.0.0.0 Subnet Mask：0.0.0.0 Gateway：192.168.111.6 Interface:Port4 設定が済んだら“保存”をクリックしてください。

Address Object の設定

次に AddressObject の設定を⾏います。

画面左側のオブジェクトから AddressObject を選択し、表示された画面の“追加”ボタンを押してください。

② AddressObject を選択してください。 ② “追加”をクリックしてください。

AddressObject の入⼒画面が表示されますので次の設定値を今回は設定します。 1） AddressName：server01 Type：Subnet（プルダウンで選択します。） IPAddresss：172.28.1.52 SubnetMask：255.255.255.255 Interface：Port5（プルダウンで選択します。） Comment：（入⼒は不要） 設定値を入⼒後、“保存”ボタンを押してください。

設定値を入⼒したら保存ボタンを押して、AddressObject を追加してください。 繰り返し以下の AddressObject を追加してください。 2） AddressName：server02 Type：Subnet（プルダウンで選択します。） IPAddresss：172.28.1.53 SubnetMask：255.255.255.255 Interface：Port5（プルダウンで選択します。） Comment：（入⼒は不要） 3） AddressName：test-env-01 Type：IP Range（プルダウンで選択します。）

Start IP Addresss ：153.156.**.214（実際はお客さまの ECL2.0 外の接続元の IP を入⼒します。） End IP Addresss ：153.156.**.215（実際はお客さまの ECL2.0 外の接続元の IP を入⼒します。） Interface：Port4（プルダウンで選択します。）

Destination NAT の設定

次に、DestinationNAT の設定を⾏います。

画面左側のオブジェクトから DestinationNAT を選択し、表示された画面の“追加”ボタンを押してください。

③ DestinationNAT を選択してください。 ② “追加”をクリックしてください。

DestinationNAT の入⼒画面が表示されますので次の設定値を今回は設定します。 詳細は

https://ecl.ntt.com/documents/tutorials/security/rsts/security/operation/managed_firewall_utm/4330_dest ination_nat.html をご参照ください。

1)

NAT Name :inbound-server01 External IP Address :153.153.1○▲.147 Mapped IP Address :172.28.1.52

External Interface :Port4(プルダウンで選択します。)

Port Forward :チェックを外します。

Comment : (入⼒不要)

2)

NAT Name :inbound-server02 External IP Address :153.153.1×○.20 Mapped IP Address :172.28.1.53

External Interface :Port4(プルダウンで選択します。)

Port Forward :チェックを外します。

Source NAT の設定

① SourceNAT を選択してください。 ② “追加”をクリックしてください。

SourceNAT の入⼒画面が表示されますので次の設定値を今回は設定します。 詳細は

https://ecl.ntt.com/documents/tutorials/security/rsts/security/operation/managed_firewall_utm/4340_sour ce_nat.html をご参照ください。

1)

NAT Name :outbound01 External IP Address :153.153.1○▲.147 Mapped IP Address :153.153.1○▲.147

Comment : (入⼒不要)

2)

NAT Name :outbound02 External IP Address :153.153.1×○.20 Mapped IP Address :153.153.1×○.20

Comment : (入⼒不要)

Firewall Policy の設定

① Firewall Policy を選択してください。 ② “追加”をクリックしてください。

FirewallPolicy の入⼒画面が表示されますので次の設定値を今回は設定します。 詳細は

https://ecl.ntt.com/documents/tutorials/security/rsts/security/operation/managed_firewall_utm/4500_fire wall_policy.html をご参照ください。

1)

Move rule ：No Move(ラジオボタンで選択)

Enable ：チェックボックスにチェックを入れる。

IncomingInterface ：Port4(プルダウンで選択)

SourceAddress ：test-env-01（プルダウンで選択）

OutgoingInterface ：Port5(プルダウンで選択)

DestinationAddressType ：NAT Object（ラジオボタンで選択）

DestinationNAT ：inbound-server01（プルダウンで選択）

Service ：ALL（プルダウンで選択）

Action ：ACCEPT（プルダウンで選択）

NAT ：チェックボックスにチェックを入れる。

NAT mode ：UseOutgoingInterfaceAddress（ラジオボタンで選択）

Log ：Disable（プルダウンで選択）

設定値を入⼒したら“保存”ボタンをクリックして設定を保存してください。 繰り返し以下の FirewallPolicy を追加してください。

2)

Move rule ：No Move(ラジオボタンで選択)

Enable ：チェックボックスにチェックを入れる。

IncomingInterface ：Port4(プルダウンで選択)

SourceAddress ：test-env-01（プルダウンで選択）

OutgoingInterface ：Port5(プルダウンで選択)

DestinationAddressType ：NAT Object（ラジオボタンで選択）

DestinationNAT ：inbound-server02（プルダウンで選択）

Service ：ALL（プルダウンで選択）

Action ：ACCEPT（プルダウンで選択）

NAT ：チェックボックスにチェックを入れる。

NAT mode ：UseOutgoingInterfaceAddress（ラジオボタンで選択）

3)

Move rule ：No Move(ラジオボタンで選択)

Enable ：チェックボックスにチェックを入れる。

IncomingInterface ：Port5(プルダウンで選択)

SourceAddress ：server01（プルダウンで選択）

OutgoingInterface ：Port4(プルダウンで選択)

DestinationAddressType ：Address Object（ラジオボタンで選択） DestinationAddress ：all（プルダウンで選択）

Service ：ALL（プルダウンで選択）

Action ：ACCEPT（プルダウンで選択）

NAT ：チェックボックスにチェックを入れる。

NAT mode ：UseNAPTObject（ラジオボタンで選択）

NAPTObject ：outbound01（プルダウンで選択）

Log ：Disable（プルダウンで選択）

4)

Move rule ：No Move(ラジオボタンで選択)

Enable ：チェックボックスにチェックを入れる。

IncomingInterface ：Port5(プルダウンで選択)

SourceAddress ：server02（プルダウンで選択）

OutgoingInterface ：Port4(プルダウンで選択)

DestinationAddressType ：Address Object（ラジオボタンで選択） DestinationAddress ：all（プルダウンで選択）

Service ：ALL（プルダウンで選択）

Action ：ACCEPT（プルダウンで選択）

NAT ：チェックボックスにチェックを入れる。

NAT mode ：UseNAPTObject（ラジオボタンで選択）

NAPTObject ：outbound02（プルダウンで選択）

Log ：Disable（プルダウンで選択）

上記の設定が完了したら、Firewall Policy の設定および Managed Firewall の設定は完了です。

なお、今回の例ではインターネット外部の特定の Source IP から全てのプロトコルでの仮想サーバーへのアクセスを許 可する設定を入れております。お客さまのご利⽤状況に応じて Firewall Policy はご設定ください。

インターネットゲートウェイ（

ここまでの設定の状態ですと、外部から仮想サーバ い状況です ックルートの設定を実施します。 以下の情報をこの ifgw-staticrt ifgw-staticrt 以上で設定は完了です。仮想サーバーおよびお客さまの環境からインターネットで疎通確認できるかご確認ください。

インターネットゲートウェイ（

ここまでの設定の状態ですと、外部から仮想サーバ い状況です。そこで仮想サーバーが外部と通信 ックルートの設定を実施します。 以下の情報をこの例では入⼒します。 名前 staticrt-01 staticrt-02 以上で設定は完了です。仮想サーバーおよびお客さまの環境からインターネットで疎通確認できるかご確認ください。

インターネットゲートウェイ（

ここまでの設定の状態ですと、外部から仮想サーバ 仮想サーバーが外部と通信 ックルートの設定を実施します。 例では入⼒します。 153.153.1○▲ 153.153.1×○ 以上で設定は完了です。仮想サーバーおよびお客さまの環境からインターネットで疎通確認できるかご確認ください。

インターネットゲートウェイ（

ここまでの設定の状態ですと、外部から仮想サーバ 仮想サーバーが外部と通信できるようにするため 例では入⼒します。 宛先 ○▲.147/32 ×○.20/32 以上で設定は完了です。仮想サーバーおよびお客さまの環境からインターネットで疎通確認できるかご確認ください。

インターネットゲートウェイ（Static Route

ここまでの設定の状態ですと、外部から仮想サーバーに対するアクセス、 できるようにするため 192.168.111.1 192.168.111.1 以上で設定は完了です。仮想サーバーおよびお客さまの環境からインターネットで疎通確認できるかご確認ください。

クリック

Static Route）

アクセス、仮想サーバーから外部へのアクセスができな できるようにするため、最後にインターネットゲートウェイにスタティ ネクストホップ 192.168.111.1 192.168.111.1 以上で設定は完了です。仮想サーバーおよびお客さまの環境からインターネットで疎通確認できるかご確認ください。

クリック

）の設定

サーバーから外部へのアクセスができな 、最後にインターネットゲートウェイにスタティ ネクストホップ 以上で設定は完了です。仮想サーバーおよびお客さまの環境からインターネットで疎通確認できるかご確認ください。 サーバーから外部へのアクセスができな 、最後にインターネットゲートウェイにスタティ 以上で設定は完了です。仮想サーバーおよびお客さまの環境からインターネットで疎通確認できるかご確認ください。 サーバーから外部へのアクセスができな 、最後にインターネットゲートウェイにスタティ 以上で設定は完了です。仮想サーバーおよびお客さまの環境からインターネットで疎通確認できるかご確認ください。