- PR -

NetScreenのVPN設定について

1
投稿者投稿内容
mog
会議室デビュー日: 2006/06/13
投稿数: 1
投稿日時: 2006-06-13 13:51
はじめまして。

NetScreenとNetScreenRemoteを用いて、インターネットVPNによるアクセスと
通常のインターネットアクセスで、それぞれ使用できるサービスを接続元に
応じて設定したいのですが、こういったことは可能なのでしょうか?
現在、まだ手元に実機がなく、実現が可能かどうか調べているところです。
(実現可能と判明次第、購入する予定です。)

具体的には次のような条件を実現したいと考えています。

・外部拠点A−[インターネットVPN]−内部 :FTP、SSH、DNS、Web閲覧、メール受信のみ許可
・外部拠点A−[インターネット]−内部 :Web閲覧、DNS、メール受信のみ許可
・外部拠点B−[インターネットVPN]−内部 :FTP、DNS、Web閲覧、メール受信のみ許可
・外部拠点B−[インターネット]−内部 :Web閲覧、DNS、メール受信のみ許可
・その他−[インターネット]−内部 :アクセス不可

 ※ この設定をNetScreen-5GT 一台(+NetScreen Remote)で実現可能でしょうか?
 
調べたところ、以下のポリシーベースVPNとルーティングベースVPNの2種類がある
ようなのですが、どちらを使っても上記の条件を満たせない気がしています。
両方を組合せたり、その他の良い設定方法があるのでしょうか?

・ポリシーベースVPN
 サービス(プロトコル)毎にVPNの使用/不使用を設定したいという用途に向いている。
 不特定多数の接続先に対し、TelnetのみをVPNトンネルで暗号化して通信したいといった
 場合に有効。

・ルーティングベースVPN
 拠点毎にVPNの使用/不使用を設定したいという用途に向いている。
 特定の拠点へのトラフィックは全て暗号化される。
 フィルタリングによって更にトラフィックを制限することも可能。
 ある拠点との通信は全て暗号化するが、安全な経路上にある別の拠点との通信には
 暗号化は必要ないといった場合に有効。

どうぞ、よろしくお願いします。
たあ坊
会議室デビュー日: 2006/06/21
投稿数: 2
投稿日時: 2006-07-17 00:28
こんにちは

書き込みさせてもらいます。

>調べたところ、以下のポリシーベースVPNとルーティングベースVPNの2種類がある
>ようなのですが、どちらを使っても上記の条件を満たせない気がしています。

そういわれると自信がなくなりますが、全く問題なく可能だと思います。必要に応じて検証してみますが、とりあえず机上論でご説明します。

【方法】
@ポリシーごとにグループを作成する。
AGatewayを複数つくり、それぞれに各グループを当てはめる
BPolicesで、「Untrust」から「Trust」にルールをつくり、許可するサービスを設定する。同時に、そのポリシーを適用するVPNを選択する。
以上

これでどうでしょうか。それ以外の検討要素としては、IP-PoolやDIPの設定で、グループごとに払い出すIPレンジを買えることも出来ます。これによって、IPアドレスによる各種制限や設定も可能だと思います。

以下に画面や設定例が載ってますので参考にされてはいかがでしょうか。

http://www.viva-netscreen.net/

1

スキルアップ/キャリアアップ(JOB@IT)