$Date: 2011/09/13 08:12:40 $
本機能を用いることでLAN配下のPCにおけるアンチウイルスクライアントソフトウェアのインストール状況やウイルスパターンファイルならびにウイルス検索エンジンのバージョンを確認して、その結果に応じてPCがアクセスできるネットワークを制御することができます。
例えば、クライアントがインストールされていて最新のウイルスパターンファイルとウイルス検索エンジンを使用しているPC(以下、適格PC)にはLAN側とWAN側の全てのネットワークへのアクセスを許可し、クライアントがインストールされていなかったり古いウイルスパターンファイルもしくはウイルス検索エンジンを使っているPC(以下、不適格PC)に対してはL3ルーティングでのセグメント越えを禁止してLAN側の特定ネットワークへのアクセスのみに制限するなど、適格PCと不適格PCで異なるアクセス権を与えることができます。
適格PCと不適格PCに異なるアクセス権を与えるしくみにはDHCP認証機能を応用します。
適格PCに対してはプライマリネットワークに対応するIPアドレスを、不適格PCにはセカンダリネットワークに対応するIPアドレスを割り当て、イーサネットフィルター機能やポリシーフィルター機能を組み合わせてアクセスを制御します。
各PCにおけるクライアントのインストール状況やウイルスパターンファイルならびにウイルス検索エンジンのバージョンはGUIやコンソールで確認することができます。
さらに、不適格PCが接続されたことをSYSLOGに表示したりメールで通知することができます。
| 機種 | ファームウェア |
|---|---|
| SRT100 | Rev.10.00.44以降 |
プライマリネットワークのDHCPアドレス割り当て動作として、本機能によるクライアントのインストール状況やウイルスパターンファイルとウイルス検索エンジンのバージョンの確認と、セカンダリネットワークへのフォールバックを行うように設定します。
dhcp scope lease type 1 bind-priority qac-tm=on fallback=2
この設定により、事前にクライアントの確認をしていない各PCからの最初のDHCP要求に対しては必ずセカンダリアドレスを割り当てるようになります。
セカンダリアドレスの割り当てに続いて、そのアドレスを持つPCに対してクライアントのインストール状況やウイルスパターンファイルとウイルス検索エンジンのバージョンの確認を行います。
クライアントがインストールされていて最新のウイルスパターンファイルとウイルス検索エンジンを使用しているPCについてはプライマリアドレスの割り当てが可能なので、その後に受信する同PCからのセカンダリアドレスのリース延長要求を拒否した上で、引き続く新たなDHCP要求に対してはプライマリアドレスを割り当てることで適格PCとします。このとき、セカンダリアドレスのリース期間をX分に設定しておくことによって、最短X/2分でプライマリアドレスへの割り当て直しが行われます。
また、クライアントがインストールされていなかったり古いウイルスパターンファイルもしくはウイルス検索エンジンを使用しているPCについては、最初に割り当てたセカンダリアドレスのリース延長要求に応答することで不適格PCのままとします。
その後、適格PCと不適格PCそれぞれからのリース延長要求を受信するたびに、そのPCのクライアントのインストール状況やウイルスパターンファイルとウイルス検索エンジンのバージョンの確認を行います。
Rev.10.00.46以降では、qac-tm client refresh goコマンドで任意のクライアントから情報を再取得することができます。
必要に応じてクライアントのインストール状況やウイルスパターンファイルとウイルス検索エンジンのバージョンの確認の結果に関係なく、無条件で適格PCとする端末を設定することもできます。
クライアントのウイルスパターンファイルとウイルス検索エンジンのバージョンの確認は、事前に管理サーバから取得した情報と比較することで行います。
管理サーバからのウイルスパターンファイルとウイルス検索エンジンのバージョン情報の取得はqac-tm server refresh goコマンドで行います。このコマンドをschedule atコマンドで実行して管理サーバ情報を定期的に更新するとよいでしょう。
なお、管理サーバからの情報の取得に失敗した場合にはSYSLOGに表示します。さらに、メール通知機能で通知するように設定することもできます。
不適格PCに対するWebサイトへのHTTPアクセスの制限は本機能が自動的に行います。
そして、不適格PCからWebアクセスが行われた場合には以下のような警告画面を表示します。
さらに、Rev.10.00.46以降では以下のことができます。
HTTP以外のアクセス制御の方法はDHCP認証機能と同じです。イーサネットフィルター機能やポリシーフィルター機能を組み合わせて実現します。
基本的には、適格PCからの通信はフィルタリング無し、不適格PCからの通信はLAN側の特定ネットワーク(セカンダリネットワーク)と管理サーバへのみアクセス可能となるようにフィルターを設定します。
プライマリネットワークに対応する固定IPアドレスを持つ端末は基本的に不正PCとしてすべての通信を遮断するようにイーサネットフィルターを設定します。ただし、管理サーバやプリンタなどへの対応として固定IPアドレスを持つ端末でもアクセス制限なしとするように設定することができます。
管理サーバの設定情報と保持しているウイルスパターンファイルとウイルス検索エンジンのバージョンならびに、DHCPでアドレスを割り当てたPCについてはクライアントのインストール状況やウイルスパターンファイルとウイルス検索エンジンのバージョンをGUIとコンソールで確認することができます。
(コンソールでの表示例) -------------------------------------------------------------------------------- 管理サーバー情報 IP アドレス : 192.168.100.200 ポート番号 : 8059 クライアントインストール URL : http://192.168.100.1/redirect.html ウイルスパターンファイル : 4.357.50 ウイルス検索エンジン : 8.710.1000 情報取得日時 : 2008/11/26 16:12:34 情報取得エラー数 : 0 クライアント情報 MACアドレス IPアドレス 認定 パターン エンジン ------------------------------------------------------------------------- 00:01:02:03:04:05 192.168.100.2 許可 4.357.50 8.710.1000 00:06:07:08:09:0a 172.16.0.2 未インストール -.---.-- -.---.---- 00:05:04:03:02:01 172.16.0.3 範囲外 4.300.00 8.600.1000 00:05:04:03:02:02 172.16.0.4 パターン範囲外 4.300.00 8.710.1002 00:05:04:03:02:03 172.16.0.5 エンジン範囲外 4.357.00 8.600.1000 00:05:04:03:02:04 172.16.0.6 サーバーエラー 4.300.00 8.600.1000 00:0a:09:08:07:06 192.168.100.3 許可(常時) 4.357.50 8.710.1002 --------------------------------------------------------------------------
さらに、クライアントのインストール状況やウイルスパターンファイルとウイルス検索エンジンのバージョンを最初に確認した時に不適格PCと判定した端末はSYSLOGに表示します。メール通知機能で通知するように設定することもできます。
また、プライマリネットワークに対応する固定IPアドレスを持った不正PCからのアクセスはイーサネットフィルター機能で遮断するため同機能のSYSLOGに表示します。
QAC/TM 機能で使用するアンチウイルスソフトウェアの設定
| TYPE ... | 使用するアンチウイルスソフトウェア |
|
|
QAC/TM 機能で使用するアンチウイルスソフトウェアを設定する。
off
| IP_ADDRESS ... | 管理サーバPCのIPアドレス |
| PORT ... | 管理サーバPCへアクセスするポート番号 |
| PROTOCOL ... | サーバー情報を取得するときに使用するプロトコル |
|
|
アンチウイルスソフトウェア管理サーバPCのIPアドレスとポート番号を設定する。
PROTOCOL=http
有効なウイルスパターンファイルとウイルス検索エンジンのバージョン範囲の設定
| PATTERN ... | 有効なウイルスパターンファイルと判定するバージョン範囲 |
|
|
| ENGINE ... | 有効なウイルス検索エンジンと判定するバージョン範囲 |
|
|
| OS ... | 優先して判定するアンチウイルスソフトウェアのOSバージョン |
|
|
ウイルスパターンファイルとウイルス検索エンジンが有効と判定するバージョン範囲を設定する。
osオプションを設定することで、ウイルスパターンファイルとウイルス検索エンジンのバージョン確認を優先して行うOSのバージョンを指定することができる。
管理サーバ及びクライアントから取得できるアンチウイルスソフトウェア情報からは、使用しているOSが32ビットバージョンか64ビットバージョンかを判定できないため、osオプションで指定したOSバージョンを判定に使用する。
3
recent
os = 32bit
| URL ... | 管理サーバWebコンソールのクライアントインストール画面のURL |
警告画面に表示する管理サーバWebコンソールのクライアントインストール画面のURLを設定する。ポート番号を指定するときはURLにポート番号を含めて設定する。
規定のクライアントインストール画面のURL
クライアントPCのアンチウイルスソフトウェアバージョン情報を取得するポート番号の設定
| PORT ... | 空白で区切られたポート番号の並び(10個以内) |
クライアントPCにインストールしているアンチウイルスソフトウェアのバージョン情報を取得するポート番号を設定する。
なし
クライアントPCにインストールしているアンチウイルスソフトウェアのウイルスパターンファイルとウイルス検索エンジンの自動アップデートの設定
| SW | |
|
|
| PORT ... | 自動アップデート指示を送信するUDPポート番号 |
|
|
クライアントPCにインストールされているアンチウイルスソフトウェアびウイルスパターンファイルとウイルス検索エンジンを自動でアップデートするか否かを設定する。
本機能を使用する場合は、クライアントPCにエージェント(QAC/TM エージェント)をインストールしている必要がある。
off
52225
| PORT ... | 空白で区切られたポート番号の並び(4個以内) |
QAC/TMでチェックを行うHTTPのポート番号を設定する。
80
| TYPE、SERVER_ERROR_TYPE、DHCP_NOT_BIND_TYPE |
|
QAC/TMにより不適格PCとされたクライアントのWebアクセス制御を本コマンドの設定にしたがって処理する。
server-error=pass の場合、設定誤りにより管理サーバへアクセスできないとき、または管理サーバから応答が得られなかったときはパケットを通過させる。
dhcp-not-bind=pass の場合、DHCPによるIP アドレス割り当てをされていないクライアントのパケットを通過させる。
reject
server-error=pass
dhcp-not-bind=pass
アンチウイルスソフトウェア情報のチェックなしに認定されるクライアントの設定
| MAC_ADDRESS ... | クライアントのMACアドレス |
|
|
アンチウイルスソフトウェアのバージョン情報のチェックを行わずに認定されるクライアントPCを設定する。
なし
| URL ... | 不適格PCのWebアクセスで表示する警告画面のURL |
不適格PCからのWebアクセス時に表示する警告画面のURLを設定する。
ルータが用意する警告画面のURL
管理サーバのアンチウイルスソフトウェアパターンファイル情報を更新する
| なし |
管理サーバで管理しているアンチウイルスソフトウェアのウイルスパターンファイル及びウイルス検索エンジンのバージョン情報の更新を行う。
クライアントPCのアンチウイルスソフトウェアパターンファイル情報を更新する
| IP_ADDRESS | |
|
|
| prompt ... | コマンド実行後すぐにプロンプトを表示する |
クライアントPCのアンチウイルスソフトウェアのウイルスパターンファイル及びウイルス検索エンジンのバージョン情報の更新を行う。
管理サーバの情報を更新した場合、または、クライアントPCのウイルスパターンファイル及び検索エンジンのアップデートを行った場合に
ルータ内の情報を最新の状態へ更新する。
| なし |
QAC/TM の状態を表示する。
QAC/TM 機能(管理サーバ情報更新失敗、不適格PC) メール通知設定
| ID ... | 1 -10 |
| TEMPLATE_ID ... | メールテンプレートID(1 - 10) |
| QAC_TYPE ... | メール通知を行う条件 |
|
|
メール通知を行うトリガ動作の設定を行う。QAC/TM機能をトリガとして指定できる。
QAC/TM機能については以下の条件が対象となる。
なし
| SCOPE_NUM, FALLBACK_SCOPE_NUM... | スコープ番号( 1-65535) |
| TYPE... | 割り当ての動作 |
|
|
| SWITCH... | QAC/TM 機能 |
|
|
SCOPE_NUM で指定したDHCP スコープにおける、アドレスの割り当て方法を制御する。
TYPEに bind-priorityを指定した場合には、dhcp scope bindコマンドで予約されたクライアントには予約どおりのIPアドレスを、 予約されていないクライアントには他のクライアントに予約されていない空きアドレスがスコープ内にある限りそれを割り当てる。
TYPE に bind-priority を指定した場合には、fallback オプションは指定できない。
TYPE に bind-only を指定した場合は、fallback オプションでフォールバックスコープを指定しているかどうかによって動作が変わる。
fallback オプションの指定が無い場合、 dhcp scope bind コマンドで予約されているクライアントにのみIPアドレスを割り当て、 予約されていないクライアントにはたとえスコープに空きがあってもIP アドレスを割り当てない。
type に bind-only を指定し、同時にfallback オプションでフォールバックスコープを指定している場合には、以下のような動作になる。
いずれの場合も、リース期間はDHCPスコープの定義に従う。
qac-tm オプションを on に設定している場合には、同時にfallback オプションでフォールバックスコープを指定する必要がある。この場合には以下の動作になる。
リース期間はDHCP スコープの定義に従う。
qac-tm オプションはSRT100でのみ使用できる。
bind-priority
| FILTER_NUM... | 静的フィルターの番号(1..100) |
| PASS_REJECT | |
|
|
| SRC_MAC... | 始点MACアドレス |
|
|
| DST_MAC... | 終点MACアドレス |
|
|
| TYPE | |
|
|
| SCOPE... | DHCPスコープ |
|
|
| OFFSET... | オフセットを表す10進数(イーサネットフレームの始点MACアドレスの直後を0とする) |
| BYTE_LIST... | バイト列 |
|
|
イーサネットフレームのフィルターを設定する。本コマンドで設定されたフィルターは、ethernet lan filterコマンドで用いられる。
通常型のフィルターでは、始点MACアドレス、終点MACアドレスなどで送受信するイーサネットフレームにフィルターを適用する。
dhcp-bind型とdhcp-leased型のフィルターでは、以下のイーサネットフレームにフィルターを適用する。 対象とならないイーサネットフレームはフィルターに合致しないものとして扱う。
dhcp-bind型のフィルターでは、イーサネットフレームの始点MACアドレスと始点IPアドレスの組が、 対象となるDHCPスコープで予約されているならフィルタに合致するとみなす。
dhcp-leased型のフィルターでは、イーサネットフレームの始点MACアドレスと始点IPアドレスの組が、 対象となるDHCPスコープでアドレスがリースされているならフィルタに合致するとみなす。
dhcp-bind型のフィルターでは、イーサネットフレームの始点MACアドレスと始点IPアドレスの組が、 対象となるDHCPスコープで予約されているならフィルターに合致するとみなす。
dhcp-leased型のフィルターでは、イーサネットフレームの始点MACアドレスと始点IPアドレスの組が、 対象となるDHCPスコープでアドレスがリースされているならフィルターに合致するとみなす。
dhcp-not-bind型とdhcp-not-leased型のフィルタでは、以下のイーサネットフレームにフィルタを適用する。 対象とならないイーサネットフレームはフィルタに合致しないものとして扱う。
イーサネットフレームの始点IPアドレスが、対象となるDHCPスコープのリース範囲に含まれていて、 かつ、dhcp-not-bind型のフィルターでは始点MACアドレスがDHCPスコープで予約されていない時に、 dhcp-not-leased型のフィルターでは始点MACアドレスがDHCPスコープでアドレスがリースされていない時に フィルターに合致するとみなす。
dhcp-bind、dhcp-not-bind、dhcp-leased、dhcp-not-leased型のフィルターで対象とするDHCPスコープは、 SCOPEパラメータで指定する。SCOPEパラメータとしてはDHCPスコープ番号を指定することもできるし、 DHCPスコープが定義されているサブネットに含まれるIPアドレスで指定することもできる。 IPアドレスでDHCPスコープを指定する場合に、複数のDHCPスコープが該当する時には、 その中で最も長いネットマスク長を持つDHCPスコープを選択する。
SCOPEパラメータを省略した場合には、フィルターが適用されるインタフェースで使用されるDHCPスコープがすべて対象となる
dhcp-bind、dhcp-not-bind型のフィルターが DHCP リレーエージェントとして動作しているルーターに設定された場合、 DHCP サーバーから DHCPスコープとその DHCP スコープにおけるクライアントの予約情報を取得し、フィルターの適用時に参照する。
DHCP サーバーからの DHCP スコープおよび予約情報の取得は、DHCP メッセージをリレーする際、DHCP メッセージのオプション部に 予約情報を書き込んで通知することにより行なわれる。
LAN分割機能を使用する場合には、ルーター内部でイーサネットタイプとして0x8100〜0x810fの値を使用しているので それらのイーサネットフレームをフィルタして送受信できないようにすると、 LAN分割機能を使用しているポートで通信できなくなるので注意が必要である。
dhcp-bind、dhcp-not-bind、dhcp-leased、dhcp-not-leased型のフィルターでは、 イーサネットフレームの始点MACアドレスや始点IPアドレスを用いてフィルターの判定をするため、 ethernet lan filterコマンドでは通常in方向にのみ使用することになる。out方向の場合、 始点MACアドレスはルーター自身のMACアドレスになるため、DHCPの予約情報もしくはリースしたアドレスと一致することはない。
dhcp-bind、dhcp-leased型フィルターは、予約もしくはアドレスがリースされているクライアントだけを通過させる、 という形になるため、通常はpass等と組み合わせて使用する。一方、dhcp-not-bind、dhcp-not-leased型フィルターは、 予約もしくはアドレスがリースされていないクライアントを破棄する、という形になるため、通常はreject等と組み合わせて使用することになる。
dhcp-leased型とdhcp-not-leased型はSRT100でのみ使用できる。
なし
| INTERFACE ... | LAN インタフェース名 |
| BRIDGE_INTERFACE ... | ブリッジインタフェース名 |
| IP_ADDRESSE ... | セカンダリ IP アドレス xxx.xxx.xxx.xxx (xxx は十進数) |
| DHCP ... | DHCP クライアントとして IP アドレスを取得することを示すキーワード |
| MASK | |
|
|
インタフェースのセカンダリ IP アドレスとネットマスクを設定する。
DHCP を設定すると、設定直後に DHCP クライアントとして IP アドレスを取得する。
セカンダリのネットワークでのブロードキャストアドレスは必ずディレクティッドブロードキャストアドレスが
使われる。
ブリッジインタフェースを指定できるのはRev.10.00.XX 以降のリビジョンである。
| ID ... | アドレスグループの識別子 (1 .. 65535) |
| NAME ... | 名前(半角32文字以内) |
| ADDRESS ... | アドレス |
|
|
| GROUP_ID ... | 他のip policy address groupコマンドで定義したアドレスグループの識別子 (1 .. 65535) |
アドレスのグループを定義する。
groupキーワードの後ろにGROUP_IDを記述することで、他のアドレスグループを入れ子にすることができる。
このコマンドで定義したグループは、ip/ipv6 policy filterコマンドで指定できる。
qac-tm-serverはip policy address groupコマンドの場合のみ指定できる。
GUIでの設定はGUI設定手順をご覧ください。
<概要>
* 適格PC(PC1)をプライマリネットワークに配置
o PC1からの通信はフィルタリング無し
* 不適格PC(PC2)をセカンダリネットワークに配置
o PC2からはLAN側の特定ネットワーク(172.16.0.0/24)にのみアクセス許可
* 不正PC(PC3)が固定IPでプライマリネットワークに接続された場合
o PC3からの通信をすべて遮断
* ウイルスバスター コーポレートエディション 管理サーバ(Server)を固定IPでプライマリネットワークに配置
o Serverからの通信はフィルタリング無し
* ルーターはDHCPサーバーとして動作
<構成図>
(primary) 192.168.100.0/24
(secondary) 172.16.0.0/24
|
+-------+ |
| PC1 +-------+
+-------+ |
00:a0:de:01:02:03 |
primary address |
(DHCP) |
|
+-------+ |
| PC2 +-------+
+-------+ |
00:a0:de:11:12:13 |
secondary address |
(DHCP) |
|
+-------+ |
| PC3 +-------+
+-------+ |
00:a0:de:21:22:23 |
192.168.100.200 |
(固定IP) |
|
+-------+ |
| Server+-------+
+-------+ |
00:a0:de:31:32:33 | +---------+
192.168.100.254 +------------+ ルーター+-----------> 外部ネットワークへ
(固定IP) | lan1 +---------+ lan2
(primary) 192.168.100.1/24
(secondary) 172.16.0.1/24
<設定手順>
(LAN2をWANとして、NATなどの設定は省略する)
ip lan1 address 192.168.100.1/24
ip lan1 secondary address 172.16.0.1/24
ip lan2 address dhcp
qac-tm use corp
qac-tm server 192.168.100.254 8080
qac-tm client port 27043
qac-tm version margin 3 recent
qac-tm unqualified client access control reject server-error=pass
schedule at 900 */* 04:00 * qac-tm server refresh go
dhcp service server
dhcp scope 1 192.168.100.2-192.168.100.191/24
dhcp scope 2 172.16.0.2-172.16.0.191/24 expire 0:02 maxexpire 0:02
dhcp scope lease type 1 bind-priority qac-tm=on fallback=2
ethernet filter 10 pass-nolog 00:a0:de:31:32:33 *:*:*:*:*:*
ethernet filter 90 reject-log dhcp-not-leased 192.168.100.1
ethernet filter 100 pass-nolog *:*:*:*:*:* *:*:*:*:*:*
ethernet lan1 filter in 10 90 100
ip policy service group 101 name="Open Services"
ip policy service group 102 name=General dns
ip policy service group 103 name=Mail pop3 smtp
ip policy filter 900 pass-nolog * * * 192.168.100.254 *
ip policy filter 901 pass-nolog * lan1 192.168.100.254 * *
ip policy filter 910 pass-nolog * * 172.16.0.0/24 * http
ip policy filter 911 static-pass-nolog * local 172.16.0.0/24 * *
ip policy filter 920 reject-log * * 172.16.0.0/24 192.168.100.0/24 *
ip policy filter 921 reject-log * * 192.168.100.0/24 172.16.0.0/24 *
ip policy filter 990 reject-nolog * * 172.16.0.0/24 * *
ip policy filter 1100 reject-nolog lan1 * * * *
ip policy filter 1110 pass-nolog * * * * 102
ip policy filter 1122 static-pass-nolog * lan1 * * *
ip policy filter 1123 static-pass-nolog * local * * *
ip policy filter 1124 static-pass-log * * 192.168.100.0/24 * http
ip policy filter 1150 pass-nolog * lan2 * * *
ip policy filter 1500 reject-nolog lan2 * * * *
ip policy filter 1520 pass-log * lan1 * * 101
ip policy filter 1700 pass-nolog local * * * *
ip policy filter 1710 static-pass-nolog * lan1 * * *
ip policy filter 2000 reject-nolog * * * * *
ip policy filter set 101 name="Internet Access" 1100 [900 910 911 912 913 914 990 1110 1123 [1124] 1122 1150] 1500 [1520] 1700 [1710] 2000
ip policy filter set enable 101
<解説>
1. ip lan1 address 192.168.100.1/24
ip lan1 secondary address 172.16.0.1/24
LAN側(lan1ポート)のプライマリアドレスとセカンダリアドレスを設定します。
2. ip lan2 address dhcp
WAN側(lan2ポート)をDHCPクライアントに設定します。
3. qac-tm use corp
ウイルスバスター コーポレートエディションによるQAC/TM機能を有効にします。
4. qac-tm server 192.168.100.254 8080
管理サーバの設定をします。
5. qac-tm client port 27043
クライアントのアクセスポートを設定をします。
6. qac-tm version margin 3 recent
有効なウイルスパターンファイルのバージョンを3世代に、ウイルス検索エンジンのバージョンを最新に設定します。
7. qac-tm unqualified client access control reject server-error=pass
不適格なクライアントからのWebアクセスを禁止します。
管理サーバ情報が取得できないときはクライアントのWebアクセスを許可します。
8. schedule at 900 */* 04:00 * qac-tm server refresh go
24時間ごとに午前4時に管理サーバ情報を更新するように設定します。
9. dhcp service server
DHCPサーバーとして機能させます。
10. dhcp scope 1 192.168.100.2-192.168.100.191/24
dhcp scope 2 172.16.0.2-172.16.0.191/24 expire 0:02 maxexpire 0:02
プライマリ・セカンダリネットワークに対するDHCPスコープを定義します。
gatewayパラメータを省略しているので、ゲートウェイアドレスとしてはそれぞれルーターのIPアドレスが通知されます。
セカンダリネットワークに配置されたPC2からのリース延長要求は1分ごとに行われるように設定します。
11. dhcp scope lease type 1 bind-priority qac-tm=on fallback=2
プライマリネットワークのDHCPスコープ(DHCPスコープ番号1)において、アドレスが予約されているPCには予約済みのアドレス
を割り当て、アドレスが予約されていないPCには割り当てるアドレス範囲の中から予約されていないアドレスを割り当てます。
さらに、本機能によって適格と認定されていることも割り当ての条件とします。
スコープ1からのアドレス割り当てができない場合、スコープ2からの割り当てを試みます。
12. ethernet filter 10 pass-nolog 00:a0:de:31:32:33 *:*:*:*:*:*
ethernet filter 90 reject-log dhcp-not-leased 192.168.100.1
ethernet filter 100 pass-nolog *:*:*:*:*:* *:*:*:*:*:*
ethernet lan1 filter in 10 90 100
固定でプライマリネットワークに配置されている管理サーバからのパケットについてはすべてを通過させます。
プライマリネットワークからのパケットについては、対応するDHCPスコープからアドレスがリースされていないPCからのパケット
を破棄します。
プライマリネットワーク以外からのパケットについては全てを通過させます。
13. ip policy filter 900 pass-nolog * * * 192.168.100.254 *
ip policy filter 901 pass-nolog * lan1 192.168.100.254 * *
ip policy filter 910 pass-nolog * * 172.16.0.0/24 * http
ip policy filter 911 static-pass-nolog * local 172.16.0.0/24 * *
ip policy filter 920 reject-log * * 172.16.0.0/24 192.168.100.0/24 *
ip policy filter 921 reject-log * * 192.168.100.0/24 172.16.0.0/24 *
ip policy filter 990 reject-nolog * * 172.16.0.0/24 * *
ip policy filter set 101 name="Internet Access" 1100 [900 901 910 911 920 921 990 1110 1123 [1124] 1122 1150] 1500 [1520] 1700 [1710] 2000
LAN1のすべての端末と管理サーバ間のアクセスを許可します(900番、901番)。
LAN1のセカンダリネットワーク(172.16.0.0/24)に配置されている端末からのWebアクセスを許可します(910番)。
(※ この設定は警告画面を表示させるのに必要となります。Webアクセスは本機能によって遮断されます。)
LAN1のセカンダリネットワーク(172.16.0.0/24)に配置されている端末からルーターへのアクセスを許可します(911番)。
LAN1のプライマリネットワーク(192.168.100.0/24)とセカンダリネットワーク(172.16.0.0/24)
の間のアクセスを禁止します(920番、921番)。
セカンダリネットワークに配置されている端末からインターネットへのアクセスを禁止します(990番)。
※GUIの初期設定ウィザードによる「セキュリティフィルターの設定」で利用するアプリケーションで「利用するアプリケーション
を制限しない」を選択したときに生成される設定に、900番、901番、910番、911番、920番、921番、990番の
各フィルターを追加します。
<概要>
* 適格PC(PC1)をプライマリネットワークに配置
o PC1からの通信はフィルタリング無し
* 不適格PC(PC2)をセカンダリネットワークに配置
o PC2からはLAN側の特定ネットワーク(172.16.0.0/24)と管理サーバにのみアクセス許可
* 不正PC(PC3)が固定IPでプライマリネットワークに接続された場合
o PC3からの通信をすべて遮断
* Trend Micro ビジネスセキュリティ 管理サーバ(Server)をルーターのWAN側に配置し、URLで指定
o Serverからの通信はフィルタリング無し
* ルーターはDHCPサーバーとして動作
<構成図>
(primary) 192.168.100.0/24
(secondary) 172.16.0.0/24
|
+-------+ |
| PC1 +-------+
+-------+ |
00:a0:de:01:02:03 |
primary address |
(DHCP) |
|
+-------+ |
| PC2 +-------+
+-------+ |
00:a0:de:11:12:13 |
secondary address |
(DHCP) |
|
+-------+ | 00:a0:de:31:32:33
| PC3 +-------+ http://yamaha.test.co.jp
+-------+ | +-------+
00:a0:de:21:22:23 | | Server|
192.168.100.200 | +---+---+
(固定IP) | |
| +---------+ V
+------------+ ルーター+-----------> 外部ネットワークへ
| lan1 +---------+ lan2
(primary) 192.168.100.1/24
(secondary) 172.16.0.1/24
<設定手順>
(LAN2をWANとして、NATなどの設定は省略する)
ip lan1 address 192.168.100.1/24
ip lan1 secondary address 172.16.0.1/24
ip lan2 address dhcp
qac-tm use biz
qac-tm server http://yamaha.test.co.jp 8059
qac-tm client port 40942
qac-tm version margin 3 recent
qac-tm unqualified client access control reject server-error=pass
schedule at 900 */* 04:00 * qac-tm server refresh go
dhcp service server
dhcp scope 1 192.168.100.2-192.168.100.191/24
dhcp scope 2 172.16.0.2-172.16.0.191/24 expire 0:02 maxexpire 0:02
dhcp scope lease type 1 bind-priority qac-tm=on fallback=2
ethernet filter 10 pass-nolog 00:a0:de:31:32:33 *:*:*:*:*:*
ethernet filter 90 reject-log dhcp-not-leased 192.168.100.1
ethernet filter 100 pass-nolog *:*:*:*:*:* *:*:*:*:*:*
ethernet lan1 filter in 10 90 100
ip policy address group 200 name="QAC/TM server" qac-tm-server
ip policy service group 101 name="Open Services"
ip policy service group 102 name=General dns
ip policy service group 103 name=Mail pop3 smtp
ip policy filter 900 pass-nolog * * * 200 *
ip policy filter 901 pass-nolog * lan1 200 * *
ip policy filter 910 pass-nolog * * 172.16.0.0/24 * http
ip policy filter 911 static-pass-nolog * local 172.16.0.0/24 * *
ip policy filter 920 reject-log * * 172.16.0.0/24 192.168.100.0/24 *
ip policy filter 921 reject-log * * 192.168.100.0/24 172.16.0.0/24 *
ip policy filter 990 reject-nolog * * 172.16.0.0/24 * *
ip policy filter 1100 reject-nolog lan1 * * * *
ip policy filter 1110 pass-nolog * * * * 102
ip policy filter 1122 static-pass-nolog * lan1 * * *
ip policy filter 1123 static-pass-nolog * local * * *
ip policy filter 1124 static-pass-log * * 192.168.100.0/24 * http
ip policy filter 1150 pass-nolog * lan2 * * *
ip policy filter 1500 reject-nolog lan2 * * * *
ip policy filter 1520 pass-log * lan1 * * 101
ip policy filter 1700 pass-nolog local * * * *
ip policy filter 1710 static-pass-nolog * lan1 * * *
ip policy filter 2000 reject-nolog * * * * *
ip policy filter set 101 name="Internet Access" 1100 [900 901 910 911 920 921 990 1110 1123 [1124] 1122 1150] 1500 [1520] 1700 [1710] 2000
ip policy filter set enable 101
<解説>
1. ip lan1 address 192.168.100.1/24
ip lan1 secondary address 172.16.0.1/24
LAN側(lan1ポート)のプライマリアドレスとセカンダリアドレスを設定します。
2. ip lan2 address dhcp
WAN側(lan2ポート)をDHCPクライアントに設定します。
3. qac-tm use biz
Trend Micro ビジネスセキュリティによるQAC/TM機能を有効にします。
4. qac-tm server http://yamaha.test.co.jp 8059
管理サーバの設定をします。
5. qac-tm client port 40942
クライアントのアクセスポートを設定をします。
6. qac-tm version margin 3 recent
有効なウイルスパターンファイルのバージョンを3世代に、ウイルス検索エンジンのバージョンを最新に設定します。
7. qac-tm unqualified client access control reject server-error=pass
不適格なクライアントからのWebアクセスを禁止します。
管理サーバ情報が取得できないときはクライアントのWebアクセスを許可します。
8. schedule at 900 */* 04:00 * qac-tm server refresh go
24時間ごとに午前4時に管理サーバ情報を更新するように設定します。
9. dhcp service server
DHCPサーバーとして機能させます。
10. dhcp scope 1 192.168.100.2-192.168.100.191/24
dhcp scope 2 172.16.0.2-172.16.0.191/24 expire 0:02 maxexpire 0:02
プライマリ・セカンダリネットワークに対するDHCPスコープを定義します。
gatewayパラメータを省略しているので、ゲートウェイアドレスとしてはそれぞれルーターのIPアドレスが通知されます。
セカンダリネットワークに配置されたPC2からのリース延長要求は1分ごとに行われるように設定します。
11. dhcp scope lease type 1 bind-priority qac-tm=on fallback=2
プライマリネットワークのDHCPスコープ(DHCPスコープ番号1)において、アドレスが予約されているPCには予約済みのアドレス
を割り当て、アドレスが予約されていないPCには割り当てるアドレス範囲の中から予約されていないアドレスを割り当てます。
さらに、本機能によって適格と認定されていることも割り当ての条件とします。
スコープ1からのアドレス割り当てができない場合、スコープ2からの割り当てを試みます。
12. ethernet filter 10 pass-nolog 00:a0:de:31:32:33 *:*:*:*:*:*
ethernet filter 90 reject-log dhcp-not-leased 192.168.100.1
ethernet filter 100 pass-nolog *:*:*:*:*:* *:*:*:*:*:*
ethernet lan1 filter in 10 90 100
固定でプライマリネットワークに配置されている管理サーバからのパケットについてはすべてを通過させます。
プライマリネットワークからのパケットについては、対応するDHCPスコープからアドレスがリースされていないPCからのパケット
を破棄します。
プライマリネットワーク以外からのパケットについては全てを通過させます。
13. ip policy address group 200 name="QAC/TM server" qac-tm-server
qac-tm serverコマンドで指定した管理サーバのURLをアドレスグループとして定義します。
14. ip policy filter 900 pass-nolog * * * 200 *
ip policy filter 901 pass-nolog * lan1 200 * *
ip policy filter 910 pass-nolog * * 172.16.0.0/24 * http
ip policy filter 911 static-pass-nolog * local 172.16.0.0/24 * *
ip policy filter 920 reject-log * * 172.16.0.0/24 192.168.100.0/24 *
ip policy filter 921 reject-log * * 192.168.100.0/24 172.16.0.0/24 *
ip policy filter 990 reject-nolog * * 172.16.0.0/24 * *
ip policy filter set 101 name="Internet Access" 1100 [900 901 910 911 920 921 990 1110 1123 [1124] 1122 1150] 1500 [1520] 1700 [1710] 2000
LAN1のすべての端末と管理サーバ間のアクセスを許可します(900番、901番)。
LAN1のセカンダリネットワーク(172.16.0.0/24)に配置されている端末からのWebアクセスを許可します(910番)。
(※ この設定は警告画面を表示させるのに必要となります。Webアクセスは本機能によって遮断されます。)
LAN1のセカンダリネットワーク(172.16.0.0/24)に配置されている端末からルーターへのアクセスを許可します(911番)。
LAN1のプライマリネットワーク(192.168.100.0/24)とセカンダリネットワーク(172.16.0.0/24)
の間のアクセスを禁止します(920番、921番)。
セカンダリネットワークに配置されている端末からインターネットへのアクセスを禁止します(990番)。
※GUIの初期設定ウィザードによる「セキュリティフィルターの設定」で利用するアプリケーションで「利用するアプリケーション
を制限しない」を選択したときに生成される設定に、900番、901番、910番、911番、920番、921番、990番の
各フィルターを追加します。
<概要>
* 適格PC(PC1)をプライマリネットワークに配置
o PC1からの通信はフィルタリング無し
* 不適格PC(PC2)をセカンダリネットワークに配置
o PC2からはLAN側の特定ネットワーク(172.16.0.0/24)にのみアクセス許可
* 不正PC(PC3)が固定IPでプライマリネットワークに接続された場合
o PC3からの通信をすべて遮断
* ウイルスバスター コーポレートエディション 管理サーバ(Server)を固定IPでプライマリネットワークに配置
o 管理サーバ(Server)のデフォルトゲートウェイはルーターのプライマリアドレスに設定する
o Serverからの通信はフィルタリング無し
* ルーターはDHCPサーバーとして動作
<構成図>
(primary) 192.168.100.0/24
(secondary) 172.16.0.0/24
|
+-------+ |
| PC1 +-------+
+-------+ |
00:a0:de:01:02:03 |
primary address |
(DHCP) |
|
+-------+ |
| PC2 +-------+
+-------+ |
00:a0:de:11:12:13 |
secondary address |
(DHCP) |
|
+-------+ |
| PC3 +-------+
+-------+ |
00:a0:de:21:22:23 |
192.168.100.200 |
(固定IP) |
|
+-------+ |
| Server+-------+
+-------+ |
00:a0:de:31:32:33 | +---------+ +--------------+
192.168.100.250 +------------+ ルーター+--------------+ ゲートウェイ +----------> 外部ネットワークへ
(固定IP) lan1 +---------+ lan2 +--------------+
(primary) 192.168.100.1/24 00:a0:de:41:42:43
(secondary) 172.16.0.1/24 192.168.100.254/24
<設定手順>
bridge member bridge1 lan1 lan2
ip bridge1 address 192.168.100.1/24
ip bridge1 secondary address 172.16.0.1/24
ip route default gateway 192.168.100.254
dns server 192.168.100.254
qac-tm use corp
qac-tm server 192.168.100.250 8080
qac-tm client port 22139
qac-tm version margin 3 recent
qac-tm unqualified client access control reject server-error=pass
schedule at 900 */* 04:00 * qac-tm server refresh go
dhcp service server
dhcp scope 1 192.168.100.2-192.168.100.191/24 gateway 192.168.100.254
dhcp scope 2 172.16.0.2-172.16.0.191/24 expire 0:02 maxexpire 0:02
dhcp scope lease type 1 bind-priority qac-tm=on fallback=2
ethernet filter 9 pass-nolog 00:a0:de:41:42:43 *:*:*:*:*:*
ethernet filter 10 pass-nolog 00:a0:de:31:32:33 *:*:*:*:*:*
ethernet filter 90 reject-log dhcp-not-leased 192.168.100.1
ethernet filter 100 pass-nolog *:*:*:*:*:* *:*:*:*:*:*
ethernet lan1 filter in 9 10 90 100
ethernet lan2 filter in 9 10 90 100
ip policy service group 900 name="QAC/TM www" http
ip policy filter 900 static-pass-nolog * * * 192.168.100.250 *
ip policy filter 901 static-pass-nolog * * 192.168.100.250 * *
ip policy filter 910 pass-nolog * * 172.16.0.0/24 * 900
ip policy filter 911 static-pass-nolog * local 172.16.0.0/24 * *
ip policy filter 920 reject-log * * 172.16.0.0/24 192.168.100.0/24 *
ip policy filter 921 reject-log * * 192.168.100.0/24 172.16.0.0/24 *
ip policy filter 940 reject-nolog * * 172.16.0.0/24 * *
ip policy filter 950 static-pass-nolog * * * 192.168.100.250 *
ip policy filter 951 static-pass-nolog * * 192.168.100.250 * *
ip policy filter 960 pass-nolog * * 172.16.0.0/24 * 900
ip policy filter 961 static-pass-nolog * local 172.16.0.0/24 * *
ip policy filter 970 reject-log * * 172.16.0.0/24 192.168.100.0/24 *
ip policy filter 971 reject-log * * 192.168.100.0/24 172.16.0.0/24 *
ip policy filter 990 reject-nolog * * 172.16.0.0/24 * *
ip policy filter 1800 reject-nolog lan1 * * * *
ip policy filter 1810 pass-nolog * lan2 * * *
ip policy filter 1820 static-pass-nolog * local * * *
ip policy filter 1850 reject-nolog lan2 * * * *
ip policy filter 1860 pass-nolog * lan1 * * *
ip policy filter 1870 static-pass-nolog * local * * *
ip policy filter 1900 static-pass-nolog local * * * *
ip policy filter 2000 reject-nolog * * * * *
ip policy filter set 101 name="Internet Access" 1800 [900 901 910 911 920 921 940 1810 1820] 1850 [950 951 960 961 970 971 990 1860 1870] 1900 2000
ip policy filter set enable 101
ip lan2 nat descriptor 1
nat descriptor type 1 masquerade
nat descriptor address outer 1 192.168.100.1
nat descriptor address inner 1 172.16.0.2-172.16.0.191
nat descriptor masquerade incoming 1 through
<解説>
1. bridge member bridge1 lan1 lan2
ブリッジインタフェースに収容する実インタフェースとして、LAN1、LAN2を設定します。
2. ip bridge1 address 192.168.100.1/24
ip bridge1 secondary address 172.16.0.1/24
ブリッジインタフェースのプライマリアドレスとセカンダリアドレスを設定します。
3. ip route default gateway 192.168.100.254
dns server 192.168.100.254
デフォルト経路とDNSサーバーを設定します。
4. qac-tm use corp
ウイルスバスター コーポレートエディションによるQAC/TM機能を有効にします。
5. qac-tm server 192.168.100.250 8080
管理サーバの設定をします。
6. qac-tm client port 22139
クライアントのアクセスポートを設定をします。
7. qac-tm version margin 3 recent
有効なウイルスパターンファイルのバージョンを3世代に、ウイルス検索エンジンのバージョンを最新に設定します。
8. qac-tm unqualified client access control reject server-error=pass
不適格なクライアントからのWebアクセスを禁止します。
管理サーバ情報が取得できないときはクライアントのWebアクセスを許可します。
9. schedule at 900 */* 04:00 * qac-tm server refresh go
24時間ごとに午前4時に管理サーバ情報を更新するように設定します。
10. dhcp service server
DHCPサーバーとして機能させます。
11. dhcp scope 1 192.168.100.2-192.168.100.191/24 gateway 192.168.100.254
dhcp scope 2 172.16.0.2-172.16.0.191/24 expire 0:02 maxexpire 0:02
プライマリ・セカンダリネットワークに対するDHCPスコープを定義します。
プライマリネットワークはgatewayパラメータを指定しているため、ゲートウェイアドレスとしてdhcp scopeコマンドで設定したIPアドレス
が通知されます。
セカンダリネットワークはgatewayパラメータを省略しているので、ゲートウェイアドレスとしてはルーターのIPアドレスが通知されます。
セカンダリネットワークに配置されたPC2からのリース延長要求は1分ごとに行われるように設定します。
12. dhcp scope lease type 1 bind-priority qac-tm=on fallback=2
プライマリネットワークのDHCPスコープ(DHCPスコープ番号1)において、アドレスが予約されているPCには予約済みのアドレス
を割り当て、アドレスが予約されていないPCには割り当てるアドレス範囲の中から予約されていないアドレスを割り当てます。
さらに、本機能によって適格と認定されていることも割り当ての条件とします。
スコープ1からのアドレス割り当てができない場合、スコープ2からの割り当てを試みます。
13. ethernet filter 9 pass-nolog 00:a0:de:41:42:43 *:*:*:*:*:*
ethernet filter 10 pass-nolog 00:a0:de:31:32:33 *:*:*:*:*:*
ethernet filter 90 reject-log dhcp-not-leased 192.168.100.1
ethernet filter 100 pass-nolog *:*:*:*:*:* *:*:*:*:*:*
ethernet lan1 filter in 10 90 100
ethernet lan2 filter in 10 90 100
固定でプライマリネットワークに配置されているゲートウェイからのパケットについてはすべてを通過させます。
固定でプライマリネットワークに配置されている管理サーバからのパケットについてはすべてを通過させます。
プライマリネットワークからのパケットについては、対応するDHCPスコープからアドレスがリースされていないPCからのパケット
を破棄します。
プライマリネットワーク以外からのパケットについては全てを通過させます。
14. ip policy filter 900 static-pass-nolog * * * 192.168.100.250 *
ip policy filter 901 static-pass-nolog * * 192.168.100.250 * *
ip policy filter 910 pass-nolog * * 172.16.0.0/24 * 900
ip policy filter 911 static-pass-nolog * local 172.16.0.0/24 * *
ip policy filter 920 reject-log * * 172.16.0.0/24 192.168.100.0/24 *
ip policy filter 921 reject-log * * 192.168.100.0/24 172.16.0.0/24 *
ip policy filter 940 reject-nolog * * 172.16.0.0/24 * *
ip policy filter 950 static-pass-nolog * * * 192.168.100.250 *
ip policy filter 951 static-pass-nolog * * 192.168.100.250 * *
ip policy filter 960 pass-nolog * * 172.16.0.0/24 * 900
ip policy filter 961 static-pass-nolog * local 172.16.0.0/24 * *
ip policy filter 970 reject-log * * 172.16.0.0/24 192.168.100.0/24 *
ip policy filter 971 reject-log * * 192.168.100.0/24 172.16.0.0/24 *
ip policy filter 990 reject-nolog * * 172.16.0.0/24 * *
ip policy filter set 101 name="Internet Access" 1800 [900 901 910 911 920 921 940 1810 1820] 1850 [950 951 960 961 970 971 990 1860 1870] 1900 2000
透過型(ブリッジ)の場合、LAN1、LAN2のどちらに端末を接続しても動作するようなフィルターを設定します。
LAN1へ端末を接続した場合、
LAN1のすべての端末と管理サーバ間のアクセスを許可します(900番、901番)。
LAN1のセカンダリネットワーク(172.16.0.0/24)に配置されている端末からのWebアクセスを許可します(910番)。
(※ この設定は警告画面を表示させるのに必要となります。Webアクセスは本機能によって遮断されます。)
LAN1のセカンダリネットワーク(172.16.0.0/24)に配置されている端末からルーターへのアクセスを許可します(911番)。
LAN1のプライマリネットワーク(192.168.100.0/24)とセカンダリネットワーク(172.16.0.0/24)
の間のアクセスを禁止します(920番、921番)。
セカンダリネットワークに配置されている端末からインターネットへのアクセスを禁止します(940番)。
LAN2へ端末を接続した場合、950番、951番、960番、961番、970番、971番、990番のフィルターが対象になります。
LAN2のすべての端末と管理サーバ間のアクセスを許可します(950番、951番)。
LAN2のセカンダリネットワーク(172.16.0.0/24)に配置されている端末からのWebアクセスを許可します(960番)。
(※ この設定は警告画面を表示させるのに必要となります。Webアクセスは本機能によって遮断されます。)
LAN2のセカンダリネットワーク(172.16.0.0/24)に配置されている端末からルーターへのアクセスを許可します(961番)。
LAN2のプライマリネットワーク(192.168.100.0/24)とセカンダリネットワーク(172.16.0.0/24)
の間のアクセスを禁止します(970番、971番)。
セカンダリネットワークに配置されている端末からインターネットへのアクセスを禁止します(990番)。
※GUIの初期設定ウィザードによる「セキュリティフィルターの設定」で利用するアプリケーションで「利用するアプリケーション
を制限しない」を選択したときに生成される設定に、900番、901番、910番、911番、920番、921番、940番、950番、951番、960番、
961番、970番、971番、990番の各フィルターを追加します。
15. ip lan2 nat descriptor 1
nat descriptor type 1 masquerade
nat descriptor address outer 1 192.168.100.1
nat descriptor address inner 1 172.16.0.2-172.16.0.191
nat descriptor masquerade incoming 1 through
セカンダリネットワーク(172.16.0.2-172.16.0.191)に配置されている端末からのWebアクセスのためにIPマスカレードを定義します。
IPマスカレード機能を定義したNATディスクリプタをLAN2に適用します。
<概要>
* 適格PC(PC1)をプライマリネットワークに配置
o PC1からの通信はフィルタリング無し
* 不適格PC(PC2)をセカンダリネットワークに配置
o PC2からはLAN側の特定ネットワーク(172.16.0.0/24)と管理サーバのみアクセス許可
* 不正PC(PC3)が固定IPでプライマリネットワークに接続された場合
o PC3からの通信をすべて遮断
* Trend Micro ビジネスセキュリティ 管理サーバ(Server)をルーターのWAN側に配置し、URLで指定
o 管理サーバ(Server)のデフォルトゲートウェイはルーターのプライマリアドレスに設定する
o Serverからの通信はフィルタリング無し
* ルーターはDHCPサーバーとして動作
<構成図>
(primary) 192.168.100.0/24
(secondary) 172.16.0.0/24
|
+-------+ |
| PC1 +-------+
+-------+ |
00:a0:de:01:02:03 |
primary address |
(DHCP) |
|
+-------+ |
| PC2 +-------+
+-------+ |
00:a0:de:11:12:13 |
secondary address |
(DHCP) |
|
+-------+ |
| PC3 +-------+ 00:a0:de:31:32:33
+-------+ | http://yamaha.test.co.jp
00:a0:de:21:22:23 | +-------+
192.168.100.200 | | Server|
(固定IP) | +---+---+
| |
| +---------+ +--------------+ v
+------------+ ルーター+--------------+ ゲートウェイ +----------> 外部ネットワークへ
lan1 +---------+ lan2 +--------------+
(primary) 192.168.100.1/24 00:a0:de:41:42:43
(secondary) 172.16.0.1/24 192.168.100.254/24
<設定手順>
bridge member bridge1 lan1 lan2
ip bridge1 address 192.168.100.1/24
ip bridge1 secondary address 172.16.0.1/24
ip route default gateway 192.168.100.254
dns server 192.168.100.254
qac-tm use biz
qac-tm server http://yamaha.test.co.jp 8059
qac-tm client port 22139
qac-tm version margin 3 recent
qac-tm unqualified client access control reject server-error=pass
schedule at 900 */* 04:00 * qac-tm server refresh go
dhcp service server
dhcp scope 1 192.168.100.2-192.168.100.191/24 gateway 192.168.100.254
dhcp scope 2 172.16.0.2-172.16.0.191/24 expire 0:02 maxexpire 0:02
dhcp scope lease type 1 bind-priority qac-tm=on fallback=2
ethernet filter 9 pass-nolog 00:a0:de:41:42:43 *:*:*:*:*:*
ethernet filter 10 pass-nolog 00:a0:de:31:32:33 *:*:*:*:*:*
ethernet filter 90 reject-log dhcp-not-leased 192.168.100.1
ethernet filter 100 pass-nolog *:*:*:*:*:* *:*:*:*:*:*
ethernet lan1 filter in 9 10 90 100
ethernet lan2 filter in 9 10 90 100
ip policy address group 200 name="QAC/TM server" qac-tm-server
ip policy service group 900 name="QAC/TM www" http
ip policy filter 900 static-pass-nolog * * * 200 *
ip policy filter 901 static-pass-nolog * * 200 * *
ip policy filter 910 pass-nolog * * 172.16.0.0/24 * 900
ip policy filter 911 static-pass-nolog * local 172.16.0.0/24 * *
ip policy filter 920 reject-log * * 172.16.0.0/24 192.168.100.0/24 *
ip policy filter 921 reject-log * * 192.168.100.0/24 172.16.0.0/24 *
ip policy filter 940 reject-nolog * * 172.16.0.0/24 * *
ip policy filter 950 static-pass-nolog * * * 200 *
ip policy filter 951 static-pass-nolog * * 200 * *
ip policy filter 960 pass-nolog * * 172.16.0.0/24 * 900
ip policy filter 961 static-pass-nolog * local 172.16.0.0/24 * *
ip policy filter 970 reject-log * * 172.16.0.0/24 192.168.100.0/24 *
ip policy filter 971 reject-log * * 192.168.100.0/24 172.16.0.0/24 *
ip policy filter 990 reject-nolog * * 172.16.0.0/24 * *
ip policy filter 1800 reject-nolog lan1 * * * *
ip policy filter 1810 pass-nolog * lan2 * * *
ip policy filter 1820 static-pass-nolog * local * * *
ip policy filter 1850 reject-nolog lan2 * * * *
ip policy filter 1860 pass-nolog * lan1 * * *
ip policy filter 1870 static-pass-nolog * local * * *
ip policy filter 1900 static-pass-nolog local * * * *
ip policy filter 2000 reject-nolog * * * * *
ip policy filter set 101 name="Internet Access" 1800 [900 901 910 911 920 921 940 1810 1820] 1850 [950 951 960 961 970 971 990 1860 1870] 1900 2000
ip policy filter set enable 101
ip lan2 nat descriptor 1
nat descriptor type 1 masquerade
nat descriptor address outer 1 192.168.100.1
nat descriptor address inner 1 172.16.0.2-172.16.0.191
nat descriptor masquerade incoming 1 through
<解説>
1. bridge member bridge1 lan1 lan2
ブリッジインタフェースに収容する実インタフェースとして、LAN1、LAN2を設定します。
2. ip bridge1 address 192.168.100.1/24
ip bridge1 secondary address 172.16.0.1/24
ブリッジインタフェースのプライマリアドレスとセカンダリアドレスを設定します。
3. ip route default gateway 192.168.100.254
dns server 192.168.100.254
デフォルト経路とDNSサーバーを設定します。
4. qac-tm use biz
Trend Micro ビジネスセキュリティによるQAC/TM機能を有効にします。
5. qac-tm server http://yamaha.test.co.jp 8059
管理サーバの設定をします。
6. qac-tm client port 22139
クライアントのアクセスポートを設定をします。
7. qac-tm version margin 3 recent
有効なウイルスパターンファイルのバージョンを3世代に、ウイルス検索エンジンのバージョンを最新に設定します。
8. qac-tm unqualified client access control reject server-error=pass
不適格なクライアントからのWebアクセスを禁止します。
管理サーバ情報が取得できないときはクライアントのWebアクセスを許可します。
9. schedule at 900 */* 04:00 * qac-tm server refresh go
24時間ごとに午前4時に管理サーバ情報を更新するように設定します。
10. dhcp service server
DHCPサーバーとして機能させます。
11. dhcp scope 1 192.168.100.2-192.168.100.191/24 gateway 192.168.100.254
dhcp scope 2 172.16.0.2-172.16.0.191/24 expire 0:02 maxexpire 0:02
プライマリ・セカンダリネットワークに対するDHCPスコープを定義します。
プライマリネットワークはgatewayパラメータを指定しているため、ゲートウェイアドレスとしてdhcp scopeコマンドで設定したIPアドレス
が通知されます。
セカンダリネットワークはgatewayパラメータを省略しているので、ゲートウェイアドレスとしてはルーターのIPアドレスが通知されます。
セカンダリネットワークに配置されたPC2からのリース延長要求は1分ごとに行われるように設定します。
12. dhcp scope lease type 1 bind-priority qac-tm=on fallback=2
プライマリネットワークのDHCPスコープ(DHCPスコープ番号1)において、アドレスが予約されているPCには予約済みのアドレス
を割り当て、アドレスが予約されていないPCには割り当てるアドレス範囲の中から予約されていないアドレスを割り当てます。
さらに、本機能によって適格と認定されていることも割り当ての条件とします。
スコープ1からのアドレス割り当てができない場合、スコープ2からの割り当てを試みます。
13. ethernet filter 9 pass-nolog 00:a0:de:41:42:43 *:*:*:*:*:*
ethernet filter 10 pass-nolog 00:a0:de:31:32:33 *:*:*:*:*:*
ethernet filter 90 reject-log dhcp-not-leased 192.168.100.1
ethernet filter 100 pass-nolog *:*:*:*:*:* *:*:*:*:*:*
ethernet lan1 filter in 10 90 100
ethernet lan2 filter in 10 90 100
固定でプライマリネットワークに配置されているゲートウェイからのパケットについてはすべてを通過させます。
固定でプライマリネットワークに配置されている管理サーバからのパケットについてはすべてを通過させます。
プライマリネットワークからのパケットについては、対応するDHCPスコープからアドレスがリースされていないPCからのパケット
を破棄します。
プライマリネットワーク以外からのパケットについては全てを通過させます。
14. ip policy address group 200 name="QAC/TM server" qac-tm-server
qac-tm serverコマンドで指定した管理サーバのURLをアドレスグループとして定義します。
15. ip policy filter 900 static-pass-nolog * * * 200 *
ip policy filter 901 static-pass-nolog * * 200 * *
ip policy filter 910 pass-nolog * * 172.16.0.0/24 * 900
ip policy filter 911 static-pass-nolog * local 172.16.0.0/24 * *
ip policy filter 920 reject-log * * 172.16.0.0/24 192.168.100.0/24 *
ip policy filter 921 reject-log * * 192.168.100.0/24 172.16.0.0/24 *
ip policy filter 940 reject-nolog * * 172.16.0.0/24 * *
ip policy filter 950 static-pass-nolog * * * 200 *
ip policy filter 951 static-pass-nolog * * 200 * *
ip policy filter 960 pass-nolog * * 172.16.0.0/24 * 900
ip policy filter 961 static-pass-nolog * local 172.16.0.0/24 * *
ip policy filter 970 reject-log * * 172.16.0.0/24 192.168.100.0/24 *
ip policy filter 971 reject-log * * 192.168.100.0/24 172.16.0.0/24 *
ip policy filter 990 reject-nolog * * 172.16.0.0/24 * *
ip policy filter set 101 name="Internet Access" 1800 [900 901 910 911 920 921 940 1810 1820] 1850 [950 951 960 961 970 971 990 1860 1870] 1900 2000
透過型(ブリッジ)の場合、LAN1、LAN2のどちらに端末を接続しても動作するようなフィルターを設定します。
LAN1へ端末を接続した場合、
LAN1のすべての端末と管理サーバ間のアクセスを許可します(900番、901番)。
LAN1のセカンダリネットワーク(172.16.0.0/24)に配置されている端末からのWebアクセスを許可します(910番)。
(※ この設定は警告画面を表示させるのに必要となります。Webアクセスは本機能によって遮断されます。)
LAN1のセカンダリネットワーク(172.16.0.0/24)に配置されている端末からルーターへのアクセスを許可します(911番)。
LAN1のプライマリネットワーク(192.168.100.0/24)とセカンダリネットワーク(172.16.0.0/24)
の間のアクセスを禁止します(920番、921番)。
セカンダリネットワークに配置されている端末からインターネットへのアクセスを禁止します(940番)。
LAN2へ端末を接続した場合、950番、951番、960番、961番、970番、971番、990番のフィルターが対象になります。
LAN2のすべての端末と管理サーバ間のアクセスを許可します(950番、951番)。
LAN2のセカンダリネットワーク(172.16.0.0/24)に配置されている端末からのWebアクセスを許可します(960番)。
(※ この設定は警告画面を表示させるのに必要となります。Webアクセスは本機能によって遮断されます。)
LAN2のセカンダリネットワーク(172.16.0.0/24)に配置されている端末からルーターへのアクセスを許可します(961番)。
LAN2のプライマリネットワーク(192.168.100.0/24)とセカンダリネットワーク(172.16.0.0/24)
の間のアクセスを禁止します(970番、971番)。
セカンダリネットワークに配置されている端末からインターネットへのアクセスを禁止します(990番)。
※GUIの初期設定ウィザードによる「セキュリティフィルターの設定」で利用するアプリケーションで「利用するアプリケーション
を制限しない」を選択したときに生成される設定に、900番、901番、910番、911番、920番、921番、940番、950番、951番、960番、
961番、970番、971番、990番の各フィルターを追加します。
16. ip lan2 nat descriptor 1
nat descriptor type 1 masquerade
nat descriptor address outer 1 192.168.100.1
nat descriptor address inner 1 172.16.0.2-172.16.0.191
nat descriptor masquerade incoming 1 through
セカンダリネットワーク(172.16.0.2-172.16.0.191)に配置されている端末からのWebアクセスのためにIPマスカレードを定義します。
IPマスカレード機能を定義したNATディスクリプタをLAN2に適用します。
本機能において出力されるSYSLOGメッセージの一覧を以下に示します。尚、実際に出力される各メッセージの先頭には"[QAC/TM] "というプレフィックスが付与されます。
| レベル | 出力メッセージ | 内容 |
|---|---|---|
| INFO | Server information get successed | 管理サーバ情報の取得に成功した |
| Server information get failed | 管理サーバ情報の取得に失敗した | |
| Client information get successed(IP_ADDRESS) | IP_ADDRESSのクライアント情報の取得に成功した | |
| Client information get failed(AP_ADDRESS) | IP_ADDRESSのクライアント情報の取得に失敗した | |
| Client antivirus software get successed(IP_ADDRESS) | IP_ADDRESSのクライアントのアンチウイルスソフトのバージョン情報取得に成功した | |
| Client antivirus software version get failed(IP_ADDRESS) | IP_ADDRESSのクライアントのアンチウイルスソフトのバージョン情報取得に失敗した | |
| Client port number is no setting | クライアント情報を取得するためのポート番号が設定されていません | |
| Client information area get failed | クライアントの情報を保持する為の領域が取得できない | |
| Execute "qac-tm server refresh go command" | qac-tm server refresh go コマンドを実行した | |
| Start Server Information Refresh | qac-tm server refresh go コマンドで管理サーバ情報の更新を開始した | |
| Server Information Refreshed | qac-tm server refresh go コマンドで管理サーバ情報の更新が完了した | |
| Execute "qac-tm client refresh go command" | qac-tm client refresh go コマンドを実行した | |
| Start Client Information Refresh(IP_ADDRESS) | qac-tm client refresh go コマンドでIP_ADDRESSのクライアント情報の更新を開始した | |
| Client Information Refreshed(IP_ADDRESS) | qac-tm client refresh go コマンドでIP_ADDRESSのクライアント情報の更新が完了した | |
| DEBUG | Server Info. Get Start | ルーター起動時に管理サーバ情報の取得動作を開始した |
| Can't create socket | ソケットが生成できなかった | |
| Can't resolve redirect host name | インストールURLの名前解決ができなかった | |
| Can't resolve redirect update host name | ウイルスパターンファイルの更新方法の説明があるURLの名前解決ができなかった | |
| Can't resolve warning host name | 警告画面のURLの名前解決ができなかった | |
| Can't connect to server | 管理サーバへ接続できなかった | |
| Can't connect to client | クライアントへ接続できなかった | |
| Can't connect to server (Connection timeout) | 管理サーバへの接続待ちタイムアウト | |
| Can't connect to client (Connection timeout) | クライアントへの接続待ちタイムアウト | |
| received illegal packet | 不正なパケットを受信した | |
| Client information convert failed | クライアントから取得したバージョン情報が不正だった | |
| Server Pattern File Version get failed | 管理サーバから取得したウイルスパターンファイルのバージョン情報が不正だった | |
| Server Engine Version get failed | 管理サーバから取得したウイルス検索エンジンのバージョン情報が不正だった | |
| Server Pattern Version: Pattern = PTN Engine(NT32) = EGN32 Engine(NT64) = EGN64 | 管理サーバから取得したウイルスパターンファイルのバージョンがPTN、検索エンジンの32bitOSのバージョンがEGN32、検索エンジンの64bitOSのバージョンがEGN64だった | |
| Client Pattern File Version get failed | クライアントから取得したウイルスパターンファイルのバージョン情報が不正だった | |
| Client Engine Version gbet failed | クライアントから取得したウイルス検索エンジンのバージョン情報が不正だった | |
| Client Pattern Version: Pattern = PTN Engine = EGN | クライアントから取得したウイルスパターンファイルのバージョンがPTN、検索エンジンのバージョンがEGNだった | |
| Client Information get retry(IP_ADDRESS) | IP_ADDRESSのクライアントのバージョン情報の取得をリトライした | |
| Retransmit a request to the antivirus software server, NUM times | 管理サーバへのアンチウイルスソフトウェアのバージョン情報取得を NUM 回リトライした | |
| Retransmit a request to the antivirus software client, NUM times | クライアントへのアンチウイルスソフトウェアのバージョン情報取得を NUM 回リトライした |