TOP
マニュアル ヘルプ(FAQ)ライセンス購入製品サイトBlogお問い合わせ
マニュアル ヘルプ(FAQ)ライセンス購入製品サイトBlogお問い合わせ
🧰

シナリオ生成支援ツール

 
ポリシーテスト機能で利用するテストシナリオを、ファイアウォールのコンフィグから生成する支援ツール(ScenarioWriter)を提供しています。
 

ScenarioWriter(シナリオライター)とは

ポリシーテスト機能のテストシナリオ、仮想ルーターの設定をファイアウォールのコンフィグから自動で作成するコマンドラインツールです。
テストシナリオ作成作業を効率化します。
 
NEEDLEWORK本体と同じZIPファイルに格納しています。
ダウンロード
 
よくあるご質問
Q. コンフィグの内容を完全に網羅するテストシナリオを作成してくれますか。
A. ご期待に添えるよう開発を進めておりますが、  現状、対応できていないコンフィグパターンもございます。  あくまでも「ベースとなるテストシナリオを自動生成可能なツール」  とお考えいただければと思います。  動作についてご報告いただけましたら、随時確認のうえ対応検討してまいります。
 お問い合わせ

対応しているファイアウォール

 
  • Fortinet FortiGate ※FortiOS 7.2.6で動作検証をしています
  • Palo Alto Networks 次世代ファイアウォール ※PAN-OS 10.1.9-h3で動作検証をしています
 
※動作検証しているバージョン以外でも、コンフィグフォーマットが大きく変わっていない場合は動作する可能性があります

ご利用方法

解凍後のフォルダに、ツール本体()が保存されています。
フォルダに移動し以下のコマンドを実行します。
  • コマンドプロンプトの場合
    • Fortinet FortiGate
    • Palo Alto Networks 次世代ファイアウォール
  • PowerShellの場合
    • Fortinet FortiGate
    • Palo Alto Networks 次世代ファイアウォール
実行例
※PowerShellでの実行例
 
実行結果例
 
 
ℹ️
本ツールで対応していない設定の場合は、実行結果に詳細情報を表示しています。
お手数ですが、内容ご確認のうえ、手動にてテストシナリオを修正・作成をお願いします。

ファイアウォールの下記設定ごとに、テストシナリオ(CSV)とNEEDLEWORK設定ファイル(Toml)を出力します。
 
  • Fortinet FortiGate
    • VDOM
  • Palo Alto Networks 次世代ファイアウォール
    • VSYS
    • 仮想ルーター

NEEDLEWORKの設定

以下の手順で、出力された設定ファイル(Toml)をNEEDLEWORKに読み込み、設定を行います。
 
  1. NEEDLEWORK設定ファイル(Toml)を読み込みます。
    ※初期状態ではOSインターフェースがアサインされていないためエラーが表示されます。 下記「2」記載の通り手動でインターフェース設定を行ってください。
 
  ※エラー例※
 
2. NEEDLEWORKにOSインターフェースをアサインし、IPアドレスを設定します。  
OSインターフェース情報はPCによって異なるため、 生成されるNEEDLEWORK設定ファイルにはOSインターフェースが設定されていません。 PCのOSインターフェース情報に応じて、 手動でNEEDLEWORKインターフェース設定を行ってください。
 
ℹ️
テスト対象ファイアウォールが4ポート以上保持している場合、下記ページを参照し環境準備を行ってください。 4ポート以上のネットワーク機器に接続してテストしたい
設定方法は下記ページをご参照ください。
基本設定
 

3. 仮想ルーターにNEEDLEWORKインターフェースをアサインします。
 

シナリオ読み込み・テスト実行


1. 出力されたテストシナリオを読み込み、テストを実行します。
 

テスト結果エラーについて

テストシナリオの内容、またはファイアウォールの設定によっては、テスト結果がエラー(想定外の結果)になる場合があります。
必要に応じて調査し、ポリシーの修正もしくはテストシナリオの修正を検討してください。
※テストシナリオのdescription欄に、シナリオの元にしたファイアウォールのポリシー名を記載しています
 
以下のような場合、テスト結果が想定外の結果になる場合があります。
  • テストプロトコルにhttpsを利用している場合でUTMテストを指定している場合
      • テストプロトコルにhttpsを利用している場合、以下のUTMテストを行うにはファイアウォールにて通信の復号化が必要になります。

      1. アンチウイルス
      通信が複合化されないため、レスポンスに含まれるEicarを検査できません。
      そのため、block想定の通信がpassとなります。

      2. URLフィルタリング ※パス(Path)が含まれるテストシナリオを実行した場合 のようなパス(例:)を含むURLフィルタのテストシナリオを実行した場合、通信が複合化されないため、リクエスト情報に含まれるパスを検査できません。
      上記の場合は、ファイアウォールのポリシー設定、復号化設定の見直しをお願いします。
      ℹ️
      FortiGateで通信の復号化を行う場合は”SSL/SSHインスペクション”に「Deep-Inspection」をご利用ください。 関連ヘルプ:HTTPSのテスト結果がdropになります
 
  • 他のポリシーにマッチしている場合 アドレスオブジェクトの範囲が他のポリシーと重複している場合、期待するポリシー以外にテスト通信がマッチし、想定と異なる結果になる場合があります。
 

お問い合わせ

ご質問・ご要望等ございましたら下記のフォームからお願いいたします。 
https://krs3.needlework.jp/form/ScenarioWriter_inquiry
 

旧バージョン

旧バージョン2024/7/9 0:332024/7/9 0:34