ワイルドカードオブジェクト
ワイルドカードオブジェクトは、セキュリティポリシーでアクセスを許可または拒否することができる共通のパターンを持つIPアドレスオブジェクトです。
|
|
注 - この機能は、Security Gateway R80.20 以降でのみサポートされています。 |
新しいワイルドカードオブジェクトを作成するには
-
Object Explorer >New >More >Network Object >Wildcard object を開く。
-
ワイルドカードIPアドレスとワイルドカードネットマスクをIPv4またはIPv6形式で入力します。
-
クリックOK。
ワイルドカードオブジェクトについて
ワイルドカードオブジェクトには、ワイルドカードIPアドレスとワイルドカードネットマスクが含まれます。
ワイルドカード・ネットマスクとは、IPアドレスのどの部分が一致し、どの部分が一致しなくてもよいかを示すビットのマスクである。例:
|
ワイルドカードIP: |
194. |
29. |
0. |
1 |
|
ワイルドカードネットマスク: |
0. |
0. |
3. |
0 |
第3オクテットは、ビットのマスクを表します。3を2進数に変換すると、00000011となります。
マスクの0の部分は、IPアドレスの相当するビットと一致させる必要があります。
マスクの1の部分は一致する必要はなく、任意の値にできます。
|
0 |
0 |
0 |
0 |
0 |
0 |
1 |
1 |
|
IPアドレスの同等ビットと一致しなければならない |
一致させる必要はない |
||||||
2進数のネットマスクで、次のような10進数値を生成します。
|
128 |
64 |
32 |
16 |
8 |
4 |
2 |
1 |
|
|
|
|
|
|
|
|
|
バイナリ |
|
10進数 |
|
|
0 |
0 |
0 |
0 |
0 |
0 |
0 |
0 |
|
0 |
|
0 |
0 |
0 |
0 |
0 |
0 |
0 |
1 |
|
1 |
|
0 |
0 |
0 |
0 |
0 |
0 |
1 |
0 |
|
2 |
|
0 |
0 |
0 |
0 |
0 |
0 |
1 |
1 |
|
3 |
ネットマスクは、これらのIPアドレスのみを許可します。
-
194.29.0.1
-
194.29.1.1
-
192.29.2.1
-
194.29.3.1
使用例
シナリオ1
あるスーパーマーケットチェーンでは、すべてのレジがサブネット194.29.x.1(xは地域を定義)にあります。この使用例では、この地域のすべてのレジが194.30.1.1のデータベースサーバにアクセスする必要があります。
256のホスト(194.29.0.1, 194.29.1.1, 194.29.2.1...194.29.255.1)を定義する代わりに、管理者は地域内のすべてのレジを示すワイルドカードオブジェクトを作成します。
|
ワイルドカードIP: |
194. |
29. |
0. |
1 |
|
ワイルドカードのマスク: |
0. |
0. |
255. |
0 |
これで、ワイルドカードオブジェクトをアクセスコントロールポリシーに追加できるようになりました。
|
発信元 |
宛先 |
アクション |
追跡 |
|---|---|---|---|
|
ワイルドカードオブジェクト |
データベースサーバオブジェクト |
許可 |
ログ記録 |
シナリオ2
この使用例では、ヨーロッパとアジアに店舗を持つスーパーマーケットチェーンを考えます。
192.30.0-255.1ネットワークには、アジア地域とヨーロッパ地域、およびそれらの地域内の店舗が含まれています。
|
項目 |
説明 |
|---|---|
|
1 |
欧州向けデータベースサーバ |
|
2 |
アジア向けデータベースサーバ |
|
3 |
欧州、アジアネットワーク |
管理者は、ヨーロッパ地域とアジア地域の店舗が異なるデータベースサーバにアクセスすることを望んでいます。このトポロジでは、ヨーロッパとアジアのネットワークのIPアドレスの第3オクテットは、ワイルドカードの対象となります。ワイルドカードの最初の4ビットが地域を表し、最後の4ビットが店舗番号を表します。
|
地域を表すビット |
店舗番号を表すビット |
|
0000 |
0000 |
ワイルドカード IP:
-
アジア地域は0001xxxx(10進数でリージョン1)で表されます。
-
欧州地域は0010xxxx(10進数でリージョン2)で表されます。
バイナリ:
|
バイナリ |
|
10進数 |
|
地域 |
店舗 |
|
|
0001 |
0000 |
16 - アジア地域 |
|
0010 |
0000 |
32 - 欧州地域 |
特定の地域のすべての店舗を含めるには、ワイルドカードマスクの最後の4ビットを1(10進数で15)に設定する必要があります。
|
バイナリ |
|
10進数 |
|
地域 |
店舗 |
|
|
xxxx |
1111 |
15 - アジア全店舗 |
|
xxxx |
1111 |
15 - ヨーロッパ全店舗 |
アジアのすべての店舗を表すワイルドカードオブジェクトは、次のようになります。
|
ワイルドカードIPアドレス |
192.30.16.1 |
(地域) |
|
ワイルドカードネットマスク |
0.0.15.0 |
(地域内店舗向け) |
この範囲のIPアドレスの場合192.30.16-31.1
ヨーロッパのすべての店舗を表すワイルドカードオブジェクトは、次のようになります。
|
ワイルドカードIPアドレス |
192.30.32.1 |
(地域) |
|
ワイルドカードネットマスク |
0.0.15.0 |
(地域内店舗向け) |
この範囲のIPアドレスの場合192.30.32-47.1
管理者は、アクセスコントロールポリシーでこれらのワイルドカードオブジェクトを使用できるようになりました。
|
発信元 |
宛先 |
アクション |
追跡 |
|---|---|---|---|
|
アジア店舗のワイルドカード |
アジア向けデータベースサーバ |
許可 |
ログ記録 |
|
ヨーロッパ店舗のワイルドカード |
欧州向けデータベースサーバ |
許可 |
ログ記録 |
シナリオ3
このシナリオでは、ネットマスクビットは連続していません。
|
ワイルドカード IP |
1 |
1 |
0 |
1 |
|
ワイルドカードマスク |
0 |
0 |
5 |
0 |
|
ワイルドカード IP |
00000001.00000001.00000000.00000001 |
|
ワイルドカードマスク |
00000000.00000000.00000101.00000000 |
マスク:
これらのIPアドレスにのみマッチします。
IPv6
IPv6アドレスにも同じ原則が適用されます。例えば、ワイルドカードオブジェクトが以下の値を持つ場合を考えます。
|
IPv6アドレス |
2001::1:10:0:1:41 |
|
ワイルドカードネットマスク |
0::ff:0:0 |
ワイルドカードは、2001::1:10:0-255:1:41にマッチする。