ファイアウォールアプライアンスを利用していましたが、機器のEOS (End Of Support) が到来したため他の機器に移設しました。その時の注意点を記載します。
作成日:2022年10月1日
現行のファイアウォールを A (要するに EOS到来)、新規機器を B とします。
Aには大量のACLが記録されていました。ユーザからリクエストがあり審査が合格次第追加していったからだと思います。数千のACLがありました。
本当にすべて使っているかは怪しいところです。おそらく全部は利用していないでしょうね。この移行の際に棚卸してしまうのがよいと思いました。
実際に1年間のファイアウォールのログを取得しました。そのログと現行のACLを比較して、利用していないACLはBには設定しないことにしました。
ユーザは申請はするけど不要になっても申請しないものです。申請部門に通知しACLを削除することを通知しました。
移行後は B でドロップパケットの調査を行います。もしドロップされていたら要注意。From IP と To IP を確認しシステム・業務に影響与えていないことを確認しましょう。ただし一般的にアプリが自動で更新をチェックしたりなどパケットを出すので、ドロップされていたら即問題とはならないようです。
ユーザが独自でアプリをインストールし、そのアプリが自動で最新版の更新を確認するのがブロックされているようなケースが多いようですね。
移行する場合はグローバルIPが変わらない場合と変わる場合があります。一般的には変わるでしょう。なぜなら並行稼働期間があるからです。
もし外部サイトでグローバルIPで接続許可を行っている場合は、事前に変更を通知する必要があります。
別途VPNを張っている場合は張り直しになる可能性があります。
証明書でクライアント認証を行っている場合は動作検証を行う必要あります。また証明書で認証を行っている場合、SSL インスペクションで証明書が変わる場合は影響を受けないか確認する必要があります。
ポリシールールを確認しましょう。一般的なNGFWではポリシーの最終適用時刻が記録されていると思います。もし長時間適用されていないルールがあったらそのルールは利用されていない可能性があります。
移行が完了したらテストウィルスで動作確認するとよいと思います。一番良いのは eicar test virus です。検索すると出てくると思います。これは無害のウィルスです。このウィルスをダウンロードしてブロックされれば、NGFWは正常に動作しているということです。
カテゴリフィルタも確認しましょう。特定のカテゴリがブロックされていないかは使えないのでわかりますが、逆に見てはいけないカテゴリがスルーされていないかの確認も必要でしょう。
性能をチェックする必要もあります。アップロード、ダウンロード性能もチェックしましょう。もしダウンロードだけ検査している場合はアップロード、ダウンロードで大きな差が出るでしょう。
SSL Inspection (SSL Decrypt) している場合は性能が大きく劣化するので注意が必要です。特にハードウェアタイプのファイアウォールから仮想タイプのファイウォールに変更する場合は、ハードウェアでのDecode 処理がなくなるので遅くなる可能性があります。
[戻る]