ワイルドカードオブジェクト
ワイルドカードオブジェクトは、セキュリティポリシーでアクセスを許可または拒否することができる共通のパターンを持つIPアドレスオブジェクトです。
|
|
注 - この機能は、Security Gateway R80.20 以降でのみサポートされています。 |
新しいワイルドカードオブジェクトを作成するには
-
開くObject Explorer > New > More > Network Object > Wildcard object.
-
ワイルドカードIPアドレスとワイルドカードネットマスクをIPv4またはIPv6フォーマットで入力します。
-
OKをクリックします。。
ワイルドカードオブジェクトを理解する
ワイルドカードオブジェクトは、ワイルドカードIPアドレスとワイルドカードネットマスクを含んでいます。
wildcard netmask は、IPアドレスのどの部分が一致しなければならず、どの部分が一致しなくてもよいかを示すビットのマスクである。例:
|
ワイルドカードのIPです。 |
10.0.0.0/8, 172.16.0.0/12, 192.168.0.0/16 |
10.0.0.0/8, 172.16.0.0/12, 192.168.0.0/16 |
0. |
1 |
|
ワイルドカード・ネットマスク。 |
0. |
0. |
3. |
0 |
第3オクテットは、ビットのマスクを表す。3を2進数に変換すると、00000011となる。
マスクの0部分は、IPアドレスの相当するビットと一致させる必要があります。
マスクの1部分は一致する必要はなく、どのような値でもよい。
|
0 |
0 |
0 |
0 |
0 |
0 |
1 |
1 |
|
IPアドレスの同等ビットと一致しなければならない |
一致させる必要はありません |
||||||
2進数のネットマスクは、これらの可能な10進数値を生成します。
|
128 |
64 |
32 |
12417720320 |
8 |
4 |
2 |
1 |
|
|
|
|
|
|
|
|
|
バイナリ |
|
10進数 |
|
|
0 |
0 |
0 |
0 |
0 |
0 |
0 |
0 |
|
0 |
|
0 |
0 |
0 |
0 |
0 |
0 |
0 |
1 |
|
1 |
|
0 |
0 |
0 |
0 |
0 |
0 |
1 |
0 |
|
2 |
|
0 |
0 |
0 |
0 |
0 |
0 |
1 |
1 |
|
3 |
ネットマスクは、これらのIPアドレスのみを許可します。
-
194.29.0.1
-
194.29.1.1
-
192.29.2.1
-
194.29.3.1
ユースケース例
シナリオ・ワン
あるスーパーマーケットチェーンでは、すべてのレジがサブネット194.29.x.1(xは地域を定義する)にあります。このユースケースでは、この地域のすべてのレジが194.30.1.1のデータベースサーバにアクセスする必要があります。
256のホスト(194.29.0.1, 194.29.1.1, 194.29.2.1...194.29.255.1 )を定義する代わりに、管理者は地域内のすべてのレジを示すワイルドカードオブジェクトを作成します。
|
ワイルドカードのIPです。 |
10.0.0.0/8, 172.16.0.0/12, 192.168.0.0/16 |
10.0.0.0/8, 172.16.0.0/12, 192.168.0.0/16 |
0. |
1 |
|
ワイルドカードマスク。 |
0. |
0. |
255. |
0 |
これで、ワイルドカードオブジェクトをアクセスコントロールポリシーに追加できるようになりました。
|
発信元 |
宛先 |
アクション |
追跡 |
|---|---|---|---|
|
ワイルドカードオブジェクト |
データベースサーバオブジェクト |
許可 |
Log |
シナリオ2
このユースケースでは、ヨーロッパとアジアに店舗を持つスーパーマーケットチェーンがあります。
192.30.0-255.1ネットワークには、アジア地域とヨーロッパ地域、およびそれらの地域内の店舗が含まれています。
|
項目 |
説明 |
|---|---|
|
1 |
欧州向けデータベースサーバ |
|
2 |
アジア向けデータベースサーバ |
|
3 |
欧州・アジアネットワーク |
管理者は、ヨーロッパ地域とアジア地域の店舗が異なるデータベースサーバにアクセスすることを望んでいます。このトポロジでは、ヨーロッパとアジアのネットワークのIPアドレスの第3オクテットは、ワイルドカードの対象となります。ワイルドカードの最初の4ビットが地域を表し、最後の4ビットが店舗番号を表します。
|
領域を表すビット |
ストア番号を表すビット |
|
0000 |
0000 |
Wildcard IPでは。
-
アジア地域は0001xxxx(10進数でリージョン1)で表されます。
-
欧州地域は0010xxxx(10進数で2地域)で表されます。
バイナリで。
|
バイナリ |
|
10進数 |
|
地域 |
店舗 |
|
|
0001 |
0000 |
16 - アジア地域 |
|
0010 |
0000 |
32 - 欧州地域 |
特定の地域のすべての店舗を含めるには、ワイルドカードマスクの最後の4ビットを1(10進数で15)に設定する必要があります。
|
バイナリ |
|
10進数 |
|
地域 |
店舗 |
|
|
xxxx |
1111 |
15 - アジア全店舗 |
|
xxxx |
1111 |
15 - ヨーロッパ全店舗 |
アジアのすべての店舗を表すワイルドカードオブジェクトは、次のようになります。
|
ワイルドカードIPアドレス |
192.30.16.1 |
(地域) |
|
ワイルドカードネットマスク |
0.0.15.0 |
(地域内店舗向け) |
この範囲のIPアドレスの場合。192.30.16-31.1
ヨーロッパのすべての店舗を表すワイルドカードオブジェクトは、次のようになります。
|
ワイルドカードIPアドレス |
192.30.32.1 |
迄 |
|
ワイルドカードネットマスク |
0.0.15.0 |
(地域内店舗向け) |
この範囲のIPアドレスの場合。192.30.32-47.1
管理者は、アクセスコントロールポリシーでこれらのワイルドカードオブジェクトを使用できるようになりました。
|
発信元 |
宛先 |
アクション |
追跡 |
|---|---|---|---|
|
アジアンストアーズ ワイルドカード |
アジア向けデータベースサーバ |
許可 |
Log |
|
ヨーロッパの店舗 ワイルドカード |
欧州向けデータベースサーバ |
許可 |
Log |
シナリオ3
このシナリオでは、ネットマスクビットは連続していません。
|
ワイルドカードIP |
1 |
1 |
0 |
1 |
|
ワイルドカードマスク |
0 |
0 |
5 |
0 |
|
ワイルドカードIP |
00000001.00000001.00000000.00000001 |
|
ワイルドカードマスク |
00000000.00000000.00000101.00000000 |
マスク
これらのIPアドレスにのみマッチします。
IPv6
IPv6アドレスにも同じ原則が適用されます。例えば、ワイルドカードオブジェクトが以下の値を持つ場合。
|
IPv6アドレス |
2001::1:10:0:1:41 |
|
ワイルドカードネットマスク |
0::ff:0:0 |
ワイルドカードが一致します。2001::1:10:0-255:1:41
