内部セキュリティ

装置が境界セキュリティ機器およびセキュア ワイヤレス プラットフォームとして動作するネットワーク シナリオです。同時に、ワークステーションまたはサーバのアドレスを再割り当てすることなく、ワークステーション セグメントとサーバ セグメント間の L2 ブリッジ セキュリティが実現されています。

装置は、ブリッジおよびルーティング/NAT を同時に行うことができますが、この配備例は、それを象徴する典型的な部門間混在モード トポロジと言えます。プライマリ ブリッジ インターフェース (サーバ) セグメントとセカンダリ ブリッジ インターフェース (ワークステーション) セグメントとの間を行き来するトラフィックは、L2 ブリッジを通過します。

ブリッジ ペアの両方のインターフェースが保護 (LAN) ゾーンに割り当てられているため、次の原則が成り立ちます。

• 既定ではすべてのトラフィックが許可されます。ただし、必要に応じてアクセス ルールを作成することも可能です。
• 試しに、X2 (プライマリ ブリッジ インターフェース) を公開 (DMZ) ゾーンに割り当てたらどうなるかを考えてみます。この場合、すべてのワークステーションはサーバに到達することができますが、サーバからワークステーションへの通信を開始することはできません。これでトラフィック フローの要件が満たされる (ワークステーションからサーバへのセッションを開始するなど) 場合もありますが、望ましくない影響が 2 点ほど生じます。
• DHCP サーバが DMZ に入ります。このため、ワークステーションからの DHCP 要求は L2 ブリッジを介して DHCP サーバ (192.168.0.100) に到達できますが、既定では DMZ から LAN へのアクセスがアクセス ルールによって拒否されるため、サーバからの DHCP OFFER は破棄されてしまいます。アクセス ルールを追加するか、既定のアクセス ルールを変更して、DMZ から LAN へのこのトラフィックを許可する必要があります。
• ワークステーションからサーバへのトラフィックは、送信元が保護ゾーンで送信先が公開ゾーンであるため、セキュリティ サービスの方向性は送信として分類されます。受信または (理想的には) 信頼の分類に比べると、調査の水準が低くなるという点で、これは次善の選択肢と言えます。
• セキュリティ サービスの方向性は信頼として分類されます。また、すべてのシグネチャ (受信、送信、および両方向) が適用され、どちらのセグメントにも最高水準のセキュリティが提供されます。

レイヤ 2 ブリッジ モードでインターフェースを設定する詳細な手順については、「レイヤ 2 ブリッジ モードの設定」を参照してください。