ポリシーテスト実施手順
NEEDLEWORK操作マニュアルに戻る↩️
ポリシーテスト実施の流れシナリオの作成要件(テスト要件・構成)NEEDLEWORK設定(テストインターフェース、仮想ルーター設定)インターフェース設定仮想ルーター設定テスト環境構築テスト1.テストの実行2.テスト結果の確認関連ヘルプ
リファレンスマニュアル(ポリシートテスト)
https://link.needlework.jp/needlework_reference-manual#heading=h.8pi2l5kuqu37
ポリシーテスト実施の流れ
ポリシーテストは以下の流れで実施します。
事前準備
- テストシナリオの作成 送信元・宛先IPアドレス、ポート番号など、要件に合わせた通信内容を記載します。
- NEEDLEWORKの設定
NEEDLEWORKのテストインターフェース設定、VR設定を行います。
- テスト環境の構築 NEEDLEWORKとテスト対象のネットワーク機器をネットワークケーブルで接続します。 その他の検証機材は不要です。
テスト実施
- テストの開始 テストシナリオを読み込み、テストを実行します。
- テスト結果の確認 テスト結果を確認し、期待値と違いがないことを確認します。
シナリオの作成
NEEDLEWORKの操作画面を表示しテストシナリオを作成します。
操作画面から直接値を入力するか、CSVを編集してシナリオを作成することでシナリオの作成が可能です。
※操作画面左メニューの「シナリオのサンプルを取得する」からサンプルシナリオをCSVでダウンロード可能です
要件(テスト要件・構成)
テスト要件
以下の通信要件通りにファイアウォールにセキュリティポリシー設定がされていることを確認する。
ファイアウォール以外にもルータ・L3スイッチのACL(アクセスコントロールリスト)に対するテストも可能です。本説明ではテスト対象機器をファイアウォールとしています。
- PC01からサーバー01へのTCP 8080通信を許可する
構成
テストシナリオ
※上記通信要件のテストに必要な項目のみ記載
| No | パラメータ名 ※[ ]内はCSVでの項目名 | 設定値 | 説明 |
|---|---|---|---|
| 1 | 送信元IPアドレス [src-ip] | 192.168.255.100 | 送信元IPアドレスを指定します。 |
| 2 | 宛先IPアドレス [dst-ip] | 203.0.113.1 | 宛先IPアドレスを指定します。 |
| 3 | 宛先ポート [dst-port] | 8080 | 宛先ポート番号を指定します。 |
| 4 | プロトコル [protocol] | tcp | プロトコルを指定します。 |
| 5 | 期待値 [expect] | pass | 想定結果を指定します。 テスト実行後の結果と本値を比較します。 ※許可(pass) 、拒否(drop)、UTM機能での拒否(block)から指定します |
📄テストシナリオの詳細(全項目の説明等)は、下記「リファレンスマニュアル」をご参照ください。
Tips
NEEDLEWORK設定(テストインターフェース、仮想ルーター設定)
以下の通りにテストインターフェース、仮想ルーターを設定します。
設定手順は下記ページをご参照ください。
インターフェース設定
| インターフェース名 | タイプ | IPアドレス/CIDR | VLAN ID | OSインターフェース | Baseインターフェース | 仮想ルーター |
|---|---|---|---|---|---|---|
| eth0/1 | 物理インターフェース | 192.168.1.1/24 | - | LAN01 | - | VR01 |
| eth0/2 | 物理インターフェース | 10.1.1.254/24 | - | LAN02 | - | default |
※仮想ルーターとインターフェースの割当は仮想ルーター側の設定で行います
仮想ルーター設定
| 仮想ルーター名 | 所属インターフェース | ルーティングテーブルタイプ | IPアドレス | ネクストホップ |
|---|---|---|---|---|
| VR01 | eth0/1 | external | 0.0.0.0/0 | 192.168.1.254 |
| internal | 192.168.255.0/24 | - | ||
| default | eth0/2 | external | 0.0.0.0/0 | 10.1.1.1 |
※「default」VRはどのVRにも所属していないネットワークが所属します
インターフェース/仮想ルーター設定イメージ
テスト環境構築
NEEDLEWORKをインストールしたPCのインターフェース(※)にファイアウォールを接続します。
※USB LANアダプターまたはオンボードLAN
テスト
1.テストの実行
NEEDLEWORK操作画面の「シナリオを読み込む」をクリックし、作成したテストシナリオ(CSV)を読み込みます。
その後「実行」をクリックしテストを実行します。
※NEEDLEWORKは、テストシナリオの内容をもとにテスト通信を発生させます
Tips
操作画面でシナリオ列の順序移動、シナリオ行の追加が可能です。
2.テスト結果の確認
テストを実行すると、操作画面の「結果」にテスト結果が記載されます。
※期待値と同じ結果になっていることを確認します
期待値と異なる結果になった場合は「error(mismatch)」になります。
下記画像では、期待値「pass」に対してテスト結果が「drop」のため、「error(mismatch)」となっています。
「error(mismatch)」の場合、ファイアウォールの設定不備が考えられるため、
ファイアウォール設定の見直し → 再テストの流れで実施されることが多いです。
トラブルシューティング(ネットワーク到達性確認)
期待値「pass」に対してテスト結果が「drop」となった場合、疎通・経路確認機能でトラブルシューティング(Ping疎通とトレースルート経路確認)が行なえます。
本機能を利用することで、各テストシナリオの疎通および経路を確認可能になるため、宛先までのネットワーク到達性(ルーティングがあるか等)を確認可能です。
※ファイアウォールのセキュリティポリシーででPing、トレースルートを許可する必要があります
実行
操作画面の「疎通・経路確認」をクリックすると、テストシナリオ記載の情報(送信元IPアドレス、宛先IPアドレス)でPingとトレースルートが実行されます。
※全テストシナリオが上から順に全て実行されます(途中停止可能です)
結果確認
操作画面の左画面に実行結果が表示されます。
テストで問題が発生した場合は、下記ヘルプページもご参照ください。
テスト結果のフィルタ
NEEDLEWORK操作画面の結果パネルに、結果ステータス毎の件数が表示されます。
下記画像ではErrorが31件あります。
結果パネルをクリックすることで、クリックした結果ステータスのシナリオがフィルタリングされます。
フィルタリングされた状態でテストを実行すると、フィルタリングされたシナリオのみ実行可能です。
テスト結果エビデンスは、テスト実行後に操作PCに自動でダウンロードされます。
以下のエビデンスが出力されます。
- CSV ※操作画面に表示されている内容が出力されます
- PCAP ※テスト実行時にNEEDLEWORKが送受信したパケットが記録されます
操作画面の「CSV」「PCAP」アイコンをクリックすることで、手動でもエビデンスを保存可能です。
📄テスト結果の詳細は、下記「リファレンスマニュアル」をご参照ください。
Tips
テストの個別実行
任意のテストシナリオ(複数選択も可能です)を選択し、左パネルに表示される「このシナリオを個別にテストする」をクリックすることでシナリオを個別実行可能です。
関連ヘルプ
ポリシーテスト機能の関連ヘルプです。
お困りごとの解決にお役立てください。