メイン コンテンツにスキップ

F5

F5 ファイアウォールを設定し、Glasswall Halo ICAP サーバーと統合するには、この設定ガイドに従ってください。

注: これらの手順は、F5 version BIG-IP 17.1.1.3, Build 0.0.5, Point Release 3 に基づいて記載されています。

インターフェースとルートを設定する

  • Before configuring the interfaces, ensure you can see 3 interfaces under Network -> Interfaces -> Interface list.
    • 注: ここにはデータプレーンのインターフェースが表示されており、管理インターフェースは含まれていません。
  • インターフェース名は 1.1、1.2、1.3 になります。
  • 各インターフェースの MAC アドレスを、ファイアウォール VM に接続されているインターフェース上の MAC アドレスと比較し、各インターフェースがどのサブネットに属するかをメモしてください。
  • In the dev environment:
    • 1.1inside subnet に属します
    • 1.2outside subnet に属します
    • 1.3icap subnet に属します。

Image.png

1 - 管理 IP アドレスを設定する

通常、ファイアウォールに接続された最初のインターフェースは管理インターフェースとして設定されます。何らかの理由で管理 UI が別のインターフェース(IP アドレス)で動作している場合は、次の手順に従って管理 IP アドレスを変更してください。

  1. F5 Admin Portal にログインします。
  2. System -> Platform に移動します。
  3. Host IP address のドロップダウンで、Custom host IP address を選択し、新しい IP を入力します。

Image.png

2 - 内部インターフェースを設定

  1. Network -> VLANs -> VLANs list に移動し、Create をクリックします。
  2. 名前に inside-vlan を入力します。
  3. ドロップダウンから内部インターフェースを選択し、Add をクリックします。 注: インターフェース名は 1.11.21.3 になります。前の手順では、MAC アドレスに基づいて、そのインターフェースが属するサブネットをメモしています。
  4. Finished をクリックします。
  5. Network -> Self IPs に移動し、Create をクリックします。
  6. 名前に inside-ip を入力し、内部インターフェースの IP アドレスとネットマスクを入力します。
  7. VLAN ドロップダウンから inside-vlan を選択し、Finished をクリックします。

Image.png

3 - 外部インターフェースを設定

  1. Network -> VLANs -> VLANs list に移動し、Create をクリックします。
  2. 名前に outside-vlan を入力します。
  3. ドロップダウンから外部インターフェースを選択し、Add をクリックします。
  4. Finished をクリックします。
  5. Network -> Self IPs に移動し、Create をクリックします。
  6. 名前をinside-ipとして入力し、外部インターフェイスの IP アドレスとネットマスクを入力します。
  7. VLAN ドロップダウンから outside-vlan を選択し、Finished をクリックします。

Image.png

4 - ICAP インターフェースを設定

  1. Network -> VLANs -> VLANs list に移動し、Create をクリックします。
  2. 名前として icap-vlan を入力します。
  3. ドロップダウンから ICAP インターフェースを選択し、Add をクリックします。
  4. Finished をクリックします。
  5. Network -> Self IPs に移動し、Create をクリックします。
  6. 名前として icap-ip を入力し、ICAP インターフェースの IP アドレスとネットマスクを入力します。
  7. VLAN ドロップダウンから icap-vlan を選択し、Finished をクリックします。

Image.png

ICAP 統合

1 - ICAP プールを作成

ICAP プールは、ICAP サーバーのプールを表します。

  1. Local traffic -> Pools に移動し、Create をクリックします。
  2. 適切な名前と説明を入力します。例: Name -dev-aks-icap-pool、Description -ICAP Pool for Dev AKS env
  3. Under Health monitors, select tcp from the Available column and move it to the Active column.
  4. 適切な Node name を入力します。例: dev-aks-icap-node
  5. ICAP サーバーの IP アドレスを入力し、サービス ポートを 1344 として指定して、Add をクリックします。
  6. Finished をクリックして設定を保存します。ヘルスチェックが成功するとステータスは緑色で表示され、失敗した場合は赤色で表示されます。

Image.png

2 - HTTP pool を作成

HTTP pool は、F5 によって保護する必要がある Web サーバーのプールを表します。

  1. Local traffic -> Pools に移動し、Create をクリックします。
  2. 適切な名前と説明を入力します。例: Name - dev-http-pool, Description -Onboarding web app dev
  3. Under Health monitors, select http from the Available column and move it to the Active column.
  4. 適切な Node name を入力します。例: dev-onboarding-app-node1
  5. Web サーバーの IP アドレスとポートを入力し、Add をクリックします。
  6. 設定を保存するには Finished をクリックします。ヘルスチェックが成功するとステータスは緑色で表示され、失敗すると赤色で表示されます。

Image.png

3 - ICAP profile を作成

ICAP profile は、コンテンツに CDR を適用するために、HTTP virtual server から ICAP サーバーへトラフィックを送信するために使用されます。このシナリオでは Web サーバーにアップロードされるファイルを処理したいため、ICAP で request modification service を使用する必要があります。

  1. Local traffic -> Profiles -> Services -> ICAP に移動し、Create をクリックします。
  2. 適切な名前を入力します。例: dev-icap-req-mod
  3. Select ICAP as the Parent profile.
  4. Select the Custom box in settings and enter icap://${SERVER_IP}:${SERVER_PORT}/req-cdr-service?profile=default in the URL. You can use a custom ICAP profile if needed.
  5. 必要に応じて他のフィールドも入力し、Finished をクリックします。

Image.png

4 - HTTP profile を作成

カスタム HTTP profile を使用して、Web サーバーの HTTP トラフィックを変更できます。

  1. Local traffic -> Profiles -> Services -> HTTP に移動し、Create をクリックします。
  2. 適切な名前を入力します。例: dev-http-profile
  3. HTTP親 profileとして選択します。
  4. Select the Custom box on the Settings and customise the settings as required.
  5. Finished をクリックして profile を保存します。

Image.png

5 - ICAP 内部仮想サーバーを作成

内部仮想サーバーは、トラフィックを ICAP サーバーに送信するために使用される特別な種類の仮想サーバーです。ICAP 仮想サーバーは ICAP pool の前段に配置されます。

  1. Local traffic -> Virtual servers -> Virtual servers list に移動し、Create をクリックします。
  2. 適切な名前と説明を入力します。例: dev-icap-vs
  3. Type として Internal を選択し、送信元アドレスとして 0.0.0.0/0 を入力します。
  4. Advanced 構成を選択し、ICAP profile で手順 3 で作成した ICAP profile を選択します。
  5. Default Pool で、手順 1 で作成した ICAP pool を選択します。
  6. Finished をクリックして仮想サーバーを保存します。

Image.png

6 - リクエスト adapt profile を作成

  1. Local traffic -> Profiles -> Services -> Request adapt に移動し、Create をクリックします。
  2. 適切な名前を入力します。例: dev-icap-req-adapt
  3. Parent profile で、requestadapt を選択します。
  4. Select the Custom box in Settings, and select the internal ICAP virtual server created in Step 6 in the internal virtual name drop-down.
  5. 必要に応じてサービスダウン時のアクションを選択します。これは、ICAP サーバーがダウンしているときに実行されるアクションを表します。 -Drop: HTTP 仮想サーバーでトラフィックを破棄します。 -Reset: クライアント側の接続をリセットします。 -Ignore: 元のトラフィックを Web サーバーに送信します。
  6. Finished をクリックして、リクエスト適応 profile を保存します。

Image.png

7 - HTTP 仮想サーバーを作成

HTTP 仮想サーバーは HTTP プールの前段に配置され、ユーザーが保護された Web サーバーにアクセスするために使用できる仮想 IP アドレスを提供します。

  1. Local traffic -> Virtual servers -> Virtual servers list に移動し、Create をクリックします。
  2. 適切な名前を入力します。例: dev-onboarding-http-vs
  3. Enter 0.0.0.0/0 in the Source address.
  4. 他のどのアドレス空間とも競合しない HTTP 仮想サーバー用の IP アドレスを選択し、それを宛先アドレスとして入力します。
  5. Web サーバーのポートをサーバーポートとして入力します。
  6. Advanced 構成を選択し、HTTP Profile(Client) でステップ 4 で作成した HTTP profile を選択します。
  7. request adapt profile で、ステップ 6 で作成したリクエスト適応 profile を選択します。
  8. Select Auto map under the Source address translation drop-down.
  9. Default pool で HTTP プールを選択し、Finished をクリックします。

Image.png

Image.png

最終更新日: