- - PR -
NetScreen 5GT 透過設定時のScreening設定について
| 投稿者 | 投稿内容 | ||||
|---|---|---|---|---|---|
|
投稿日時: 2007-12-07 11:07
NetScreen 5GT の質問です。
既存の環境に変更を行うことができないので、 NetScreen 5GTにて、透過設定を行い、 インターネットへの接続は確認できました。 Screening設定において、以下を参考に設定を行いました。 しかし、EXEファイルのダウンロードができます。 透過モードでは仕様的に無理なのでしょうか? それとも設定が間違っているのでしょうか? 検証のために、すべてのZoneに設定しましたが、 EXEファイルのダウンロードできてしまいます。 set zone "Trust" screen component-block exe set zone "Untrust" screen component-block exe set zone "V1-Trust" screen component-block exe set zone "V1-Trust" screen component-block exe 参考資料 WebUI Screening > Screen (Zone:Untrust): Block Java Component および Block EXE Component を選択して、Apply をクリックします。 CLI set zone untrust screen component-block jar set zone untrust screen component-block exe | ||||
|
投稿日時: 2007-12-07 13:31
こんにちは。
気になったので、5.3系マニュアル[邦訳]をあさってみましたが、 マニュアルの記載は下記の通りです。
ダウンロードができるとのことですが、HTTP経由で行っている結果でしょうか? | ||||
|
投稿日時: 2007-12-07 14:01
おつかれさまです。
ありがとうございます。 >ダウンロードができるとのことですが、HTTP経由で行っている結果でしょうか? 確かに記述してあります。 テスト方法は、窓の杜 or vectorで、ダウンロードしただけです。 この方法では、HTTP経由ではないのでしょうか? 確かに、HTTP経由、FTP経由などダウンロードする際に 選択できたりするサイトもあります。 明らかにHTTP経由のサイトでダウンロードができるか、確認してみます。 #ちなみに、クライアントに、プロキシサーバの設定などはしていません。 #ルータ経由でインターネットに接続しています。 | ||||
|
投稿日時: 2007-12-10 11:40
basty様
HTTP経由でのダウンロードもできてしまいました。 考え方が間違っているのでしょうか? 透過での設定は以下のようにしています。 set zone "Trust" vrouter "trust-vr" set zone "Untrust" vrouter "trust-vr" set zone "VLAN" vrouter "trust-vr" set zone "Untrust-Tun" vrouter "trust-vr" set zone "Trust" tcp-rst set zone "Untrust" block unset zone "Untrust" tcp-rst set zone "MGT" block set zone "VLAN" block unset zone "VLAN" tcp-rst set zone "Trust" screen component-block zip set zone "Trust" screen component-block jar set zone "Trust" screen component-block exe set zone "Trust" screen component-block activex set zone "Untrust" screen tear-drop set zone "Untrust" screen syn-flood set zone "Untrust" screen ping-death set zone "Untrust" screen ip-filter-src set zone "Untrust" screen land set zone "Untrust" screen component-block zip set zone "Untrust" screen component-block jar set zone "Untrust" screen component-block exe set zone "Untrust" screen component-block activex set zone "V1-Trust" screen component-block zip set zone "V1-Trust" screen component-block exe set zone "V1-Untrust" screen alarm-without-drop set zone "V1-Untrust" screen tear-drop set zone "V1-Untrust" screen syn-flood set zone "V1-Untrust" screen ping-death set zone "V1-Untrust" screen ip-filter-src set zone "V1-Untrust" screen land set zone "V1-Untrust" screen component-block zip set zone "V1-Untrust" screen component-block exe set interface "trust" zone "V1-Trust" set interface "untrust" zone "V1-Untrust" set interface vlan1 ip xxx.xxx.Xxx.X/Xxx set interface vlan1 route | ||||
|
投稿日時: 2007-12-10 12:21
こんにちは。
あらら、上手く動いてないようですね・・・・ 個人的にも実際に検証してみたい所ですが、時間が・・・ 透過型の仕様かもしれないので、一度代理店さんとかに聞いてみるのが 手っ取り早いかもしれませんね。 お力になれずスミマセン | ||||
|
投稿日時: 2007-12-10 14:54
解決しました、ありがとうございます。basty様
代理店に問い合わせみました。 回答として、 透過型、L2での設定では、EXE,ZIPのダウンロードを防ぐ事はできない仕様でした。 Screeningのテストとしては、 ロングパケットでのテスト、 ポートスキャンのテストなどは可能だそうです。 ドキュメントに記載されているか探してみます、 他の製品でもL2ではできないのでしょうね。 ネットワークの常識なのかなぁ | ||||
|
投稿日時: 2007-12-11 22:38
こんばんわ。
うーん、やはり仕様でしたか。 あと、同様な透過型製品としてはFortigateなどがあると思いますが どうなんでしょうね。。できるのかな・・・(^^; | ||||
|
投稿日時: 2007-12-12 09:30
ゴミレス失礼。
現在のL2SWの多くは動作を高速化するためにハードウェア側で処理しているので そういう付加価値的な制御は無理だと思ったほうが宜しいかと。 L3以上の通信機の類は結構独自機能が多いので一般的な話は難しいです。 # 通常のルータでは同様の要望には応えられません。 # 本来の機能から考えると通信プロトコルによる制御は可能でもプロトコル上に # 乗る情報のファイルタイプまで制御するケースはありませんから。 | ||||
スキルアップ/キャリアアップ(JOB@IT)
Copyright © ITmedia, Inc. All Rights Reserved.
著作権はアイティメディア株式会社またはその記事の筆者に属します。
当サイトに掲載されている記事や画像などの無断転載を禁止します。
著作権はアイティメディア株式会社またはその記事の筆者に属します。
当サイトに掲載されている記事や画像などの無断転載を禁止します。