シナリオライター動作仕様

 
 
シナリオライターの基本動作について以下に記載します。
※特に明記していない場合、ファイアウォール機種による動作の違いはありません
 

基本動作

ポリシー毎に情報を解析し、テストシナリオを組み上げていきます。
 
ファイアウォールポリシー毎にオブジェクトを解析(IPアドレス取得、ポート番号等)を行い、
解析後の情報を元に全パターンのテストシナリオ生成を試みます。
※レンジ指定のIP全パターンは取得しません。  アドレス、ポート番号取得等の選定ロジックは後述します。
 

アドレス取得ロジック

基本的に、単一アドレスは単一アドレス、範囲指定は先頭と末尾を取得します。 アドレスオブジェクトは以下の生成ロジックとなっています。
 
  1. ホストアドレス指定
    1. 単一のIPアドレスを生成します。
      定義生成する値
      192.0.2.1/32192.0.2.1
      192.0.2.1192.0.2.1
  1. ネットワークアドレス指定
    1. 先頭、末尾のIPアドレスを生成します。
      定義取得する値
      192.0.2.0/24192.0.2.1, 192.0.2.254
      ※ネットワークアドレス、ブロードキャストアドレスは除外されます。
  1. レンジ指定
    1. レンジの先頭、末尾のIPアドレスを生成します。
      定義取得する値
      192.0.2.100-192.0.2.110192.0.2.100, 192.0.2.110
※カンマ区切り等でそれぞれのフォーマットが指定されている場合は、各フォーマットに準じ、複数取得します。
 

ポート番号取得ロジック

基本的に、単一ポートは単一ポート、範囲指定は先頭のポート番号を生成します。
 
ポート番号は以下の生成ロジックとなっています。
 
  1. 単一ポート
    1. 指定されたポート番号で生成します。
      定義生成する値
      8080
  1. 範囲指定
    1. レンジの先頭で取得します。
      定義生成する値
      137-139137
※カンマ区切り等でそれぞれのフォーマットが指定されている場合は、各フォーマットに準じ、複数取得します。
 

オブジェクトに「all」または「any」が指定されている場合の動作

アドレス

ポリシーが所属する以下の情報より、ネットワークを予測し、他のオブジェクトと一致しないIPアドレス(※)を生成します。
  • 送信元インターフェース(ゾーン)
  • 宛先インターフェース(ゾーン)
※ポリシーで使っているオブジェクトのIP範囲が広い場合、  生成予定のIPが全て他のオブジェクトと一致してしまい、生成できない場合があります。
 その場合「${VSYS or VDOM名}_should_be_modified_the_firewall.csv」シナリオに出力されますので、手動でアドレスの記載をお願いします。
 
以下のいずれかの処理にてIPアドレスを生成します。
  1. インターフェースからポリシーで利用するスタティックルートを特定。 スタティックルートの宛先ネットワークアドレスから、IPアドレスを生成します。 ※デフォルトルートの場合、ドキュメントIP(203.0.113.128/25)から生成を試みます。
  1. スタティックルートからIPが生成できない場合はインターフェースと同じネットワークアドレスより、IPアドレスの生成を試みます。

サービス(プロトコル)

NEEDLEWORKがサポートするプロトコルすべてを生成します。
プロトコルポート
icmp-
udp53
dns53
dnst53
ftp21
ftpa21
http80
https443
imap143
smtp25

UTM設定が指定されている場合

URLフィルタリング

以下の条件にマッチするポリシーの場合、URLフィルタリングプロファイルに設定されているURLを指定したシナリオが生成されます。
 
  1. URLフィルタリングが有効
  1. サービスがHTTP/HTTPS、またはany/all
※URLが複数ある場合はURL毎にパターンが増えていきます。
 

アンチウイルス

ポリシーでアンチウイルスが有効化されている場合は、アンチウイルス(eicar付与)が有効化されたシナリオを生成します。
※「アンチウイルス無効/pass想定」シナリオ、「アンチウイルス有効/block想定」シナリオの両方を生成します