#amazon(4774135119)
 
 

用語

<- zone "Trust" ->|<------------------- NetScreen -------------------->|<- zone "Untrust" ->
      [Host1]--+                                                          +--[Host4]
               |                                                          |
      [Host2]--+--[vrouter "trust-vr"]-[Firewall]-[vrouter "untrust-vr"]--+--[Host5]
               |                                                          |
      [Host3]--+                                                          +--[Host6]

仮想ルータの設定

インターフェースの設定

ファイアウォールの設定

アドレスの定義

アドレスグループの定義

サービスの設定

ex)特殊なサービスを定義

ns-> set service "SVC_HIGH" protocol tcp src-port 0-65535 dst-port 2048enter.png

ポリシーの設定

ルーティングの設定

スタティック ルーティング

ns-> set route network_addr interface i/f gateway rouet
ns-> set route 192.168.3.0/24 interface untrust gateway 192.168.2.1

ルート レベルでの設定

コンテキストレベルでの設定

インターフェース ベース NAT

ポリシー ベース NAT

NAT-Src

送信先インターフェースで NAT する場合

  1. ポリシーの設定
    ns-> set policy from src-zone to dst-zone src-addr-name dst-addr-name service nat src permit
    

DIP プールのアドレスで NAT する場合

  1. DIP プールの設定
    ns-> set interface if dip id start-ip-addr end-ip-addr [fix-port]
    
    • start-ip-addr
      • プールの開始アドレス
    • end-ip-addr
      • プールの終了アドレス
    • fix-port
      • ポート変換を行わない場合に指定
  2. ポリシーの設定
    ns-> set policy from src-zone to dst-zone src-addr-name dst-addr-name service nat src dip-id id permit
    
    • id
      • 使用する DIP プールの ID

DIP プールのアドレスでスタティック NAT する場合

  1. アドレス グループの作成
    ns-> set address trust host1 ip-addr1/32
    ns-> set address trust host2 ip-addr2/32
    ns-> set address trust host3 ip-addr3/32
    ns-> set group address src-zone src-addr-group add host1
    ns-> set group address src-zone src-addr-group add host2
    ns-> set group address src-zone src-addr-group add host3
    
  2. DIP プールの設定
    ns-> set interface if dip id shift-from ip-addr1 to start-ip-addr end-ip-addr
    
    • ip-addr1
      • 送信元アドレスの先頭
    • start-ip-addr
      • プールの開始アドレス
    • end-ip-addr
      • プールの終了アドレス
    • fix-port
      • ポート変換を行わない場合に指定
  3. ポリシーの設定
    ns-> set policy from src-zone to dst-zone src-addr-group dst-addr-name service nat src dip-id id permit
    
    • id
      • 使用する DIP プールの ID

NAT-Dst

VIP [Virtual IP]

MIP [Mapped IP]

ns-> set interface "engress-if" mip mip-addr host ip-addr netmask netmask vr "vrouter"

Web フィルタリング

概要

  1. 統合型 Web フィルタリング
    • URL カテゴリに分類し、カテゴリごとに Permit/Deny 処理を行う
    • URL カテゴリは SurfControl が定義したデフォルトのものと、カスタム カテゴリが使用できる
    • SurfControl の分類情報は CPA [Content Portal Authority] サーバからリアルタイムに取得する
    • URL のマッチング
      1. ホワイト リストにマッチするものは許可
      2. ブラック リストにマッチするものは拒否
      3. カスタム カテゴリにマッチするものは、定義された処理
      4. いずれにもマッチしないものは、デフォルト処理
  2. 転送型 Web フィルタリング

設定

  1. Web フィルタリング タイプ
    ns-> set url protocol type sc-cpa
    
  2. 統合 Web フィルタリングの有効化
    ns-> set url protocol sc-cpa
    ns(url:sc-cpa)-> set enable
    
  3. カスタム カテゴリを定義 (任意)
    ns(url:sc-cpa)-> set category category-name url url1
    ns(url:sc-cpa)-> set category category-name url url2
    
  4. カスタム プロファイルを定義 (任意)
    ns(url:sc-cpa)-> set profile prof-name category-name black-list
    ns(url:sc-cpa)-> set profile prof-name category-name white-list
    ns(url:sc-cpa)-> set profile prof-name category-name [permit|block]
    ns(url:sc-cpa)-> set profile prof-name other [permit|block]
    ns(url:sc-cpa)-> exit
    
    • ns-profile というデフォルト プロファイルもある
  5. ポリシーを作成
    ns-> set policy from zone to zone src dst svc permit url-filter
    ns-> set policy id n
    ns(policy:n)-> set url protocol sc-cpa profile prof-name
    ns(policy:n)->
    

確認

ns-> set url protocol type sc-cpa
ns(url:sc-cpa)-> get profile profile-name

NSRP [NetScreen Redundancy Protocol]

概要

DNS の設定

設定

  1. スケジュールの確認
    ns-> set dns host schedule
    

確認

  1. DNS キャッシュ テーブルの状態
    ns-> get dns host cache
    
    • TTL が Expire する直前に、名前解決を行い更新される
  1. DNS ルックアップ テーブルの状態
    ns-> get dns host report
    
    • アドレス オブジェクトを登録した際に、名前解決を行い登録される
    • set dns host schedule で設定したタイミングで、名前解決を行い更新される

SNMPの設定

ns-> set snmp ?
auth-trap            set SNMP AuthTrap
community            snmp community configuration
contact              set system contact
host                 snmp host configuration
location             set system location
name                 set system name
port                 set SNMP listen & trap port
vpn                  set SNMP VPN encryption

ログ

トラフィック ログ

設定

  1. 新規ポリシーを設定する場合
    ns-> set policy [name name] from src-zone to dst-zone src-addr dst_addr svc Permit|Deny log
    
  2. 既存ポリシーに追加する場合
    ns-> set policy id n
    ns(policy:n)-> set log [session-init]
    ns(policy:n)-> exit
    
    • session-init
      • セッション開始時にロギングする場合に指定 (デフォルトはセッション終了時のみ)

確認

ns-> get log traffic policy id
PID id, from zone to zone, src src, dst dst, service svc, action Permit
Total traffic entries matched under this policy = num
==============================================================================================
Date       Time       Duration Source IP        Port Destination IP   Port Service  SessionID
Reason                         Xlated Src IP    Port Xlated Dst IP    Port ID
==============================================================================================
2000-01-01 00:00:00    0:00:23 192.168.0.1      3000 10.0.0.1         80 HTTP       7123
Close - AGE OUT
Reason理由
Creationセッションが生成 (session-init 設定時のみ)
Close - TCP FINTCP FIN でセッション終了
Close - TCP RSTTCP RST でセッション終了
Close - RESPPING や DNS の特殊セッションの応答受信でセッション終了
Close - ICMPICMP エラーを受信
Close - AGE OUT通信がタイムアウトしセッション切断
Close - NSRPNSRP の session close メッセージを受信
Close - AUTH認証失敗でセッション切断
Close - CLICLI コマンドでセッション切断

トラフィック カウンタ

設定

ns-> set policy [name name] from src-zone to dst-zone src-addr dst-addr svc Permit|Deny count

確認

その他の設定

ホスト名の変更

ns5xt-> get hostnameenter.png
Hostname: ns5xt
nsNhoge-> set hostname nsenter.png
ns-> get hostnameenter.png
Hostname: ns

ドメイン名の設定

ns-> set domain domain

コンソールの無通信切断

ns-> set console timeout 0enter.png

バナー

時刻関連

設定の保存

ns-> saveenter.png
Save System Configuration  ...
Done

バックアップ

ns-> save config from flash to tftp ip-addr file

リストア

ns-> save config from tftp ip-addr file

システム情報

ns-> get system

初期化

 

トップ   編集 凍結 差分 バックアップ 添付 複製 名前変更 リロード   新規 一覧 検索 最終更新   ヘルプ   最終更新のRSS
Last-modified: 2020-07-08 (水) 18:10:14