本記事は下記URLに移動しました。
5秒後に自動的に移動します。
先進サービス開発事業部の内藤です。
Juniper製品のEOL、EOSが今年から来年にかけて多くあります。
EOL(End of Life)
ソフトウェア提供が終了し、サポートもかなり限定的なものになります。
(ナレッジベースのワークアラウンドなど)
EOS(End of Support)
保守サービスの提供がなくなります。故障しても交換ができません。
同一ベンダーが販売しているSRXや他社ファイアウォールへのリプレースを行う企業も多いのではないでしょうか。
●目次
リプレース案件の課題
ファイアウォールをリプレースするときに課題となるのがコンフィグの移行。
旧ファイアウォールの設定から新ファイアウォールの設定を作る作業が必要になります。
リプレース後のファイアウォールが別機種や他ベンダー機種の場合、設定方法や動作仕様が異なるため、正しく移行していることの確認が必須になります。
この確認に作業工数が多くかかります。
機材を集めて検証環境を作り、ファイアウォールのセキュリティポリシーにあわせてPCにIPアドレスを設定、疑似通信を発生させ通信が通るか・通らないか・NAT変換後のIPアドレスは正しいかを確認・・・
この作業を永遠と繰り返します。
また、ファイアウォールのリプレースは1回の作業で切り替えを行うことも多く、設定が間違っている(通るべき通信が通らない・・など)と切り戻しを行い、別日に作業するなんてことも多々あります。
※いろいろなベンダーと調整する必要もあるので再作業はかなり大変です。
次項から当社で開発しているNEEDLEWORKを利用して上記課題を解決する方法をお伝えします。
NEEDLEWORKでの課題解決方法
新・旧ファイアウォールを同じシナリオでテストする
NEEDLEWORKは通信内容を記述したテストシナリオ(※)をもとに通信を発生させます。
※送信元・宛先IPアドレス、NAT変換後IPアドレス、期待値(許可、拒否)などを記述します
テストイメージの詳細はこちらの記事をご参照ください。
新ファイアウォールと旧ファイアウォールを同じテストシナリオでテストし、結果が同じになることを確認します。
これにより、新旧ファイアウォールの設定(動作)が同じであることを確認できます。
※旧ファイアウォールは代替機を用意してテストします
テストシナリオの作成
基本的にテストシナリオは通信要件を基に手動で作成します。
多くのお客様は通信要件を記載したエクセルファイルから、テストシナリオ(CSV)をコピー・アンド・ペースト等を行い作成しています。
テストシナリオの自動生成
リプレース案件におけるテストシナリオ作成をより簡単に行っていただくため、ファイアウォールのコンフィグからテストシナリオを生成するツールをOSSで公開しています。
現在はリプレースの需要が多いJuniper Networks社のSSGに対応しています。
2022/07/27追記:Fortinet社のFortiGateにも対応いたしました。
Juniper Networks SSG用ツール
Fortinet FortiGate用ツール
※READMEの内容を一読後にご利用ください
ファイアウォールのコンフィグをツールに読み込ませることで、テストシナリオを自動生成します。
生成されたテストシナリオを確認、必要に応じて追記・修正を行い、リプレース後のファイアウォールをテストします。
おわりに
リプレース案件は前述の通り1回の作業で切り替えることが多いため、切り替え時の緊張感や精神的な負荷はかなり高いです。
私も過去に多くの切り替え作業を経験し、毎回切り替え後にお客さんからの電話が鳴らないことを祈っていました(笑)(汗)
そんなときに心の支えとなるのが”検証をしたという事実”。
切り替え時に問題が発生した場合も、検証結果があればファイアウォールが原因でないことを自信を持って主張できます。
逆に検証していないと、ファイアウォールに原因でないことを主張しづらく、切り分け作業を現地ですることになります。
多くのネットワークエンジニアが安心して切り替え当日をむかえられるように、NEEDLEWORKを活用いただければ幸いです。
資料ダウンロード
