Forcepoint Web Security Cloud 設定例

1. 概要

ヤマハルーターでクラウド型ネットワークセキュリティサービスのForcepoint Web Security Cloudを利用する際の設定例です。

検証の環境は次の通りです。

機種 : NVR700W
リビジョン : Rev.15.00.16
WAN回線 : PPPoE接続 (フレッツ光ネクスト)

※本ページに記載する内容は弊社での接続検証結果であり、Forcepoint Web Security Cloudとの接続を保証するものではありません。
※Forcepoint Web Security Cloudに関する情報および設定方法については、Forcepoint社にご確認ください。

2. 想定環境

NVR700WとForcepoint Web Security Cloudの間でIKEv2を使用したIPsec VPNを構築し、NVR700W側のローカルネットワークからForcepoint Web Security Cloudのセキュリティサービスを利用することを想定した設定です。

3. IPsec VPNのパラメーター

IKEv2を使用したIPsec VPNでは、下記パラメータを使用します。

【IKEフェーズ1 (IKE SAのネゴシエーション)】

認証方式	事前共有鍵(pre-shared-key)
事前共有鍵(pre-shared-key)	(Web Security Cloudに設定した共有キー)
DHグループ	2048-bit MODP Group
暗号化アルゴリズム	AES256-CBC
認証アルゴリズム	SHA256-HMAC
IKE SAの有効期限	86400秒 (24時間)
NATトラバーサル	無効
IKEキープアライブ	RFC4306

【IKEフェーズ2 (CHILD SAのネゴシエーション)】

SAモード	トンネルモード
セキュリティプロトコル	ESP (暗号化+認証)
暗号化アルゴリズム	AES256-CBC
認証アルゴリズム	SHA256-HMAC
CHILD SAの有効期限	28800秒 (8時間)

4. ヤマハルーターの設定例

Forcepoint Web Security CloudではHTTP及びHTTPSプロトコルに対する保護を行うため、これらのプロトコルとそれ以外のプロトコルをフィルター型ルーティングにより分離しています。
また、Forcepoint Web Security Cloudの2つのデータセンターを利用してVPNトンネルダウン時のバックアップを実現しています。

【経路設定】
ip route default gateway tunnel 1 filter 10 hide gateway tunnel 2 filter 10 hide gateway pp 1
ip route (Web Security CloudプライマリーデーターセンターのIPアドレス) gateway pp 1
ip route (Web Security CloudセカンダリーデーターセンターのIPアドレス) gateway pp 1

【LAN設定】
ip lan1 address 192.168.100.1/24

【プロバイダとの接続設定】
pp select 1
 pp always-on on
 pppoe use onu1
 pp auth accept (認証方式)
 pp auth myname (ユーザ名) (パスワード)
 ppp ipcp ipaddress on
 ppp ipcp msext on
 ip pp nat descriptor 1
 pp enable 1

【IPsec VPN メイン側設定】
tunnel select 1
 ipsec tunnel 1
  ipsec sa policy 1 1 esp aes256-cbc sha256-hmac
  ipsec ike version 1 2
  ipsec ike duration child-sa 1 28800
  ipsec ike duration ike-sa 1 86400
  ipsec ike group 1 modp2048
  ipsec ike keepalive use 1 on rfc4306
  ipsec ike local address 1 192.168.100.1
  ipsec ike local name 1 (PPPoEのWAN側アドレス) ipv4-addr
  ipsec ike pre-shared-key 1 text (Web Security Cloudに設定した共有キー)
  ipsec ike remote address 1 (Web Security CloudプライマリーデーターセンターのIPアドレス)
  ipsec ike remote name 1 (Web Security CloudプライマリーデーターセンターのIPアドレス) ipv4-addr
 tunnel enable 1

【IPsec VPN バックアップ側設定】
tunnel select 2
 ipsec tunnel 2
  ipsec sa policy 2 2 esp aes256-cbc sha256-hmac
  ipsec ike version 2 2
  ipsec ike duration child-sa 2 28800
  ipsec ike duration ike-sa 2 86400
  ipsec ike group 2 modp2048
  ipsec ike keepalive use 2 on rfc4306
  ipsec ike local address 2 192.168.100.1
  ipsec ike local name 2 (PPPoEのWAN側アドレス) ipv4-addr
  ipsec ike pre-shared-key 2 text (Web Security Cloudに設定した共有キー)
  ipsec ike remote address 2 (Web Security CloudセカンダリーデーターセンターのIPアドレス)
  ipsec ike remote name 2 (Web Security CloudセカンダリーデーターセンターのIPアドレス) ipv4-addr
 tunnel enable 2
ipsec auto refresh on

【フィルタ設定】
ip filter 10 pass * * tcp * www,https

【NAT設定】
nat descriptor type 1 masquerade
nat descriptor masquerade static 1 1 192.168.100.1 esp
nat descriptor masquerade static 1 2 192.168.100.1 udp 500

【DHCP設定】
dhcp service server
dhcp server rfc2131 compliant except remain-silent
dhcp scope 1 192.168.100.2-192.168.100.191/24

【DNS設定】
dns server pp 1

5. IPsec VPNの確立確認

IPsec VPNが確立しているかどうかを確認します。
"show ipsec sa", "show status tunnel" コマンドの出力が以下のようであれば、Forcepoint Web Security CloudとのIPsec VPNは確立しています。

【show ipsec saコマンドの実行例】

# show ipsec sa
Total: isakmp:2 send:2 recv:2

sa   sgw isakmp connection   dir  life[s] remote-id
-----------------------------------------------------------------------------
1     1    -     ike           -    86377 (Web Security CloudプライマリーデーターセンターのIPアドレス)
2     1    1     tun[0001]esp  send 28779 (Web Security CloudプライマリーデーターセンターのIPアドレス)
3     1    1     tun[0001]esp  recv 28779 (Web Security CloudプライマリーデーターセンターのIPアドレス)
4     2    -     ike           -    86382 (Web Security CloudセカンダリーデーターセンターのIPアドレス)
5     2    4     tun[0002]esp  send 28786 (Web Security CloudセカンダリーデーターセンターのIPアドレス)
6     2    4     tun[0002]esp  recv 28786 (Web Security CloudセカンダリーデーターセンターのIPアドレス)

【show status tunnelコマンドの実行例】

# show status tunnel 1
TUNNEL[1]:
説明:
  インタフェースの種類: IPsec
  トンネルインタフェースは接続されています
  開始: 2019/12/03 10:24:20
  通信時間: 18秒
  受信: (IPv4) 0 パケット [0 オクテット]
        (IPv6) 0 パケット [0 オクテット]
  送信: (IPv4) 0 パケット [0 オクテット]
        (IPv6) 0 パケット [0 オクテット]
  IKEキープアライブ:
           [タイプ]: rfc4306
             [状態]: OK
         [次の送信]: 9 秒後

# show status tunnel 2
TUNNEL[2]:
説明:
  インタフェースの種類: IPsec
  トンネルインタフェースは接続されています
  開始: 2019/12/03 10:24:21
  通信時間: 23秒
  受信: (IPv4) 0 パケット [0 オクテット]
        (IPv6) 0 パケット [0 オクテット]
  送信: (IPv4) 0 パケット [0 オクテット]
        (IPv6) 0 パケット [0 オクテット]
  IKEキープアライブ:
           [タイプ]: rfc4306
             [状態]: OK
         [次の送信]: 4 秒後

6. 参考

Forcepoint Web Security Cloudポータルサイト設定手順