ウォッチガード Firebox T80 NetFlow設定とntopng製品連携ガイド

はじめに

本記事では、ウォッチガード・テクノロジー・ジャパン株式会社様が提供するウォッチガード製品の標準機能であるNetFlowエクスポートとジュピターテクノロジー株式会社が販売するntopngを連携させ詳細なNetFlow解析を実現する方法をご紹介します。

ジュピターテクノロジー株式会社 よしひろ

連携概要

このドキュメントの目的を達成するために使用するハードウェアとソフトウェアは、次の通りです。

  • ntopng,nProbe
    • ntopng Enterprise L v.5.4.221110 (Ubuntu 20.04.5 LTS)
    • nProbe Pro 10.0.221110
  • ウォッチガード Firebox T80
    • 12.8.2(Build 666661)
図1 ウォッチガード FireBox T80 NetFlow検証環境

図1のntopng,nProbe により、FireboxがエクスポートするNetFlow v9データを受信し、トラフィックグラフやrawフロー分析が可能となります。

nProbeは、NetFlowやsFlowの受信・解析をサポートします。このnProbeとxFlow受信のアーキテクチャは、以下の図2の”(1)ネットワーク機器がエクスポートしたxFlow受信”の通りです。

図2 ntopngとnProbeのアーキテクチャ

ウォッチガード Firebox T80 はNetflow v5/v9に対応しておりますが、ミラーポートは作成できませんので、(2)ネットワーク機器とのミラーポート接続といった構成はとれないことにご注意ください。

ntopng用に Firebox を設定する

Firebox を NetFlow エクスポータとして設定し、NetFlowコレクターの接続設定を定義する必要があります。

Firebox を NetFlow エクスポータとして設定するには、Fireware Web UI から

  1. [システム] > [NetFlow]を選択します。
  2. [ロックをクリックして変更する]を選択します。
  3. [ NetFlowを有効にする] を選択します。
  4. [プロトコル バージョン]で、[ V9 ]を選択します。
  5. [コレクターのアドレス] テキスト ボックスに、NetFlow コレクター (BlueVault io-b ntopng) の IP アドレスを入力します。
  6. [ポート]テキスト ボックスに2055と入力します。Firebox は、指定された IP アドレスとポートで UDP プロトコルを使用して NetFlow コレクターと通信できる必要があります。必要に応じて、関連するファイアウォール ポリシーを追加します。Firebox での NetFlow の詳細については、Fireware ヘルプの「NetFlow について」および「NetFlowを構成する」を参照してください。
  7. [アクティブ フロー タイムアウト]テキスト ボックスを1のままとします。
  8. [サンプリング モード]を無効のままにします。
  9. Firebox によって生成されたアウトバウンド トラフィックを監視するには、[Firebox によって生成されたトラフィックを監視する]および[ Firebox宛てのトラフィックを監視する] を選択します。
  10. インターフェースの NetFlow を有効にするには、そのインターフェイスの横にあるチェック ボックスをオンにします。
    インターフェースが多数ある場合は、 [インターフェース名]検索ボックスを使用するか、[タイプ]または[ゾーン]ドロップダウン リストからオプションを選択して、インターフェースをすばやく検索します。

すべてのインターフェースを選択するには、[ Interface Name]テキスト ボックスの横にあるチェック ボックスをオンにします。

[保存]をクリックします。

図 3 FireBox NetFlow設定

動作確認

Firebox で NetFlow を設定すると、ntopng は Firebox からのトラフィックデータを表示します。

Firebox からの NetFlow 情報を表示するには、ntopng で次の手順を実行します。

  1. https://IPアドレス:3001 で ntopngの Web UI にログインします。
  2. ログイン直後にリアルタイムダッシュボード画面が表示されます。

こちらの画面で、現在Fireboxから受信したリアルタイムのトラフィック情報を表示します。TrustedのIPアドレスをローカルホストとして認識し、ホスト単位でのデータ収集が開始されます。

図 4 ntopngダッシュボード画面
  1. 詳細情報を表示するには、マウス カーソルを使用して [インターフェイス ] メニューをクリックし、グラフアイコンをクリックします。

こちらの画面で、グラフ表示のマウスオーバーからの単一rawフロー分析といった詳細な解析を実現することが可能です。

図 5 ntopngインターフェイス全体分析

お問い合わせ

ウォッチガード FireBox T80に関して

ウォッチガード Firebox T80に関しては、ウォッチガード・テクノロジー・ジャパン株式会社様の以下お問い合わせ窓口よりお問い合わせください。

ウォッチガード・テクノロジー・ジャパン株式会社様問合せ

ntopng,nProbeに関して

ntop社、ntopng,nProbeに関しては、弊社問い合わせ窓口よりお問い合わせください。

弊社お問い合わせ

こんな記事も読まれています

最新記事

おすすめ記事

  1. 脆弱性対策は喫緊の課題 医療機関への攻撃事例から学ぶ、対策を急ぐために必要なこととは

  2. 【Checkmkプラグイン活用】第1回 Dockerコンテナ監視

  3. VPNでのリモート接続 不正にアクセスされていないか記録・調査していますか?

製品カテゴリー

NetFlow sFlow SNMP SSB syslog Syslogサーバー シスログサーバー セキュリティブログ トラフィック監視 ネットワーク監視 ログサーバー ログ保存 ログ管理 ログ管理ブログ 機器・サーバー監視のへや

JTC IT用語集
TOP