活用Tips:コンフィグ管理機能の活用について
対象
バージョン12.5以降
※以下に紹介する「コンフィグバックアップ」機能は、ビルド12.5.221以降で使用できます(ビルド番号の確認方法はこちら)。
概要と前提条件
概要
Firewall Analyzerには、ファイアウォールのコンフィグを管理するための機能が複数実装されています。
本ナレッジでは、コンフィグ管理機能のご紹介と活用例について記載します。
前提条件
コンフィグ管理機能を使用するためには、事前に[設定]→[FWAサーバー]→[装置ルール]設定で
管理対象装置のコンフィグ情報を取得する必要があります。
[装置ルール]の設定方法ならびにコンフィグ管理機能(変更管理、コンフィグバックアップ)のサポート対象ベンダーは、以下のページをご参照ください。
各コンフィグ管理機能のご紹介
変更管理機能
設定画面:[コンプライアンス]→[変更管理]
管理対象のファイアウォールに設定されているコンフィグに変更があった場合に自動検知し、変更日時とコンフィグ世代の表示、コンフィグ間の差分を確認します。
画面内の[コンフィグ変更日]をクリックすることで、対象のコンフィグ世代と直前のコンフィグ世代との差分画面が表示されます。
- 画面上部の[通知]より、コンフィグ変更を検知した際に通知する宛先メールアドレスを設定することができます。
メールでは、直近のコンフィグとの差分内容を確認することができます。 - 本機能の詳細については、こちらのマニュアルをご参照ください。
除外条件機能
※本機能は、変更管理機能で使用します。後述のコンフィグバックアップ機能には適用されません。
設定画面:[設定]→[FWAサーバー]→[除外条件]
ファイアウォールのコンフィグの差分を[変更管理]機能で記録する際に、差分対象として不要なコンフィグ行を除外します。
例:暗号化パスワード情報、NTP時刻など、コンフィグを取得する度に変更がある内容
本機能を使用して、ベンダーの装置タイプごとに、差分対象から除外するコンフィグの内容を設定します。
本機能の詳細については、こちらのマニュアルをご参照ください。
コンフィグバックアップ機能
設定画面:[コンプライアンス]→[コンフィグバックアップ]
本機能を使用して、管理対象のファイアウォールのコンフィグを定期的にバックアップします。
[バックアップ監査]画面では、スケジュール実行の履歴を表示し、取得したコンフィグをテキストファイルとしてダウンロードすることもできます。
[比較]画面では、スケジュールバックアップで取得したコンフィグ情報をもとに、ファイアウォールに設定されているルール(ポリシー)またはコンフィグを対象に差分を表示します。
比較時に現行の最新コンフィグを取得し、差分対象とすることもできます。
差分がある場合には、以下のような差分ページが表示されます。
本機能の詳細については、こちらのマニュアルをご参照ください。
コンフィグ管理機能の活用例
これらのコンフィグ管理機能を使用することで、以下のようなシーンに活用できます。
活用シーン例
- ファイアウォールの最新コンフィグを定期的に自動取得し、管理しておくことで、
ファイアウォール装置のリプレースや、障害発生時の復旧にお役立ていただけます。
- 差分対象として検知不要なコンフィグ(除外対象とするコンフィグ)を設定しつつ、
予期せぬコンフィグ変更や不正なコンフィグ変更をリアルタイムに検知することができます。
※通知先に組織のネットワーク管理者のメーリングリストを設定することで、必要な人に必要な情報を通知します。
本ナレッジのご紹介は以上です。
ファイアウォール以外(スイッチやルーター等)のネットワーク装置のコンフィグを管理する場合には、
当社別製品「Network Configuration Manager」についてご検討いただけますと幸いです。