page icon

ポリシーテスト実施手順

 
 
ℹ️
リファレンスマニュアル(ポリシートテスト) https://link.needlework.jp/needlework_reference-manual#heading=h.8pi2l5kuqu37
 

ポリシーテスト実施の流れ


ポリシーテストは以下の流れで実施します。
 
事前準備
  1. テストシナリオの作成 送信元・宛先IPアドレス、ポート番号など、要件に合わせた通信内容を記載します。
  1. NEEDLEWORKの設定
    1. NEEDLEWORKのテストインターフェース設定、VR設定を行います。
  1. テスト環境の構築 NEEDLEWORKとテスト対象のネットワーク機器をネットワークケーブルで接続します。 その他の検証機材は不要です。
テスト実施
  1. テストの開始 テストシナリオを読み込み、テストを実行します。
  1. テスト結果の確認 テスト結果を確認し、期待値と違いがないことを確認します。

シナリオの作成


NEEDLEWORKの操作画面を表示しテストシナリオを作成します。
操作画面から直接値を入力するか、CSVを編集してシナリオを作成することでシナリオの作成が可能です。
※操作画面左メニューの「シナリオのサンプルを取得する」からサンプルシナリオをCSVでダウンロード可能です

件(テスト要件・構成)

テスト要件
以下の通信要件通りにファイアウォールにセキュリティポリシー設定がされていることを確認する。
💡
ファイアウォール以外にもルータ・L3スイッチのACL(アクセスコントロールリスト)に対するテストも可能です。本説明ではテスト対象機器をファイアウォールとしています。
 
  • PC01からサーバー01へのTCP 8080通信を許可する
 
構成
テストシナリオ
※上記通信要件のテストに必要な項目のみ記載
Noパラメータ名 ※[ ]内はCSVでの項目名設定値説明
1プロトコル [protocol]tcpプロトコルを指定します。
2送信元IPアドレス [src-ip]192.168.255.100送信元IPアドレスを指定します。
3宛先IPアドレス [dst-ip]203.0.113.1宛先IPアドレスを指定します。
4宛先ポート [dst-port]8080宛先ポート番号を指定します。
5期待値 [expect]pass想定結果を指定します。 テスト実行後の結果と本値を比較します。 ※許可(pass) 、拒否(drop)、UTM機能での拒否(block)から指定します
 
📄テストシナリオの詳細(全項目の説明等)は、下記「リファレンスマニュアル」をご参照ください。
 

NEEDLEWORK設定(テストインターフェース、仮想ルーター設定)


以下の通りにテストインターフェース、仮想ルーターを設定します。
設定手順は をご参照ください。

インターフェース設定

インターフェース名タイプIPアドレス/CIDRVLAN IDOSインターフェースBaseインターフェース仮想ルーター
eth0/1物理インターフェース192.168.1.1/24-LAN01-VR01
eth0/2物理インターフェース10.1.1.254/24-LAN02-default
※仮想ルーターとインターフェースの割当は仮想ルーター側の設定で行います

仮想ルーター設定

仮想ルーター名所属インターフェースルーティングテーブルタイプIPアドレスネクストホップ
VR01eth0/1external0.0.0.0/0192.168.1.254
internal192.168.255.0/24-
defaulteth0/2external0.0.0.0/010.1.1.1
※「default」VRはどのVRにも所属していないネットワークが所属します
 
インターフェース/仮想ルーター設定イメージ
 

テスト環境構築


NEEDLEWORKをインストールしたPCのインターフェース(※)にファイアウォールを接続します。
※USB LANアダプターまたはオンボードLAN

テスト


1.テストの実行

NEEDLEWORK操作画面の「シナリオを読み込む」をクリックし、作成したテストシナリオ(CSV)を読み込みます。
その後「実行」をクリックしテストを実行します。
※NEEDLEWORKは、テストシナリオの内容をもとにテスト通信を発生させます

2.テスト結果の確認

テストを実行すると、操作画面の「結果」にテスト結果が記載されます。 ※期待値と同じ結果になっていることを確認します
 
期待値と異なる結果になった場合は「error(mismatch)」になります。
下記画像では、期待値「pass」に対してテスト結果が「drop」のため、「error(mismatch)」となっています。
 
💡
「error(mismatch)」の場合、ファイアウォールの設定不備が考えられるため、  ファイアウォール設定の見直し → 再テストの流れで実施されることが多いです。
 
トラブルシューティング(ネットワーク到達性確認)
期待値「pass」に対してテスト結果が「drop」となった場合、疎通・経路確認機能でトラブルシューティング(Ping疎通とトレースルート経路確認)が行なえます。
本機能を利用することで、各テストシナリオの疎通および経路を確認可能になるため、宛先までのネットワーク到達性(ルーティングがあるか等)を確認可能です。
※ファイアウォールのセキュリティポリシーででPing、トレースルートを許可する必要があります
 
実行
操作画面の「疎通・経路確認」をクリックすると、テストシナリオ記載の情報(送信元IPアドレス、宛先IPアドレス)でPingとトレースルートが実行されます。
※全テストシナリオが上から順に全て実行されます(途中停止可能です)
結果確認
操作画面の左画面に実行結果が表示されます。
 
 
 
テストで問題が発生した場合は、下記ヘルプページもご参照ください。
 
テスト結果のフィルタ
NEEDLEWORK操作画面の結果パネルに、結果ステータス毎の件数が表示されます。
下記画像ではErrorが31件あります。
 
結果パネルをクリックすることで、クリックした結果ステータスのシナリオがフィルタリングされます。
フィルタリングされた状態でテストを実行すると、フィルタリングされたシナリオのみ実行可能です。
 
テスト結果エビデンスは、テスト実行後に操作PCに自動でダウンロードされます。
以下のエビデンスが出力されます。
  • CSV ※操作画面に表示されている内容が出力されます
 
  • PCAP ※テスト実行時にNEEDLEWORKが送受信したパケットが記録されます
    •  
操作画面の「CSV」「PCAP」アイコンをクリックすることで、手動でもエビデンスを保存可能です。
 
📄テスト結果の詳細は、下記「リファレンスマニュアル」をご参照ください。
 
Tips
テストの個別実行
任意のテストシナリオ(複数選択も可能です)を選択し、左パネルに表示される「このシナリオを個別にテストする」をクリックすることでシナリオを個別実行可能です。
 

関連ヘルプ


ポリシーテスト機能の関連ヘルプです。
お困りごとの解決にお役立てください。