FW機器全般に言えることですが、SSGはFWポリシーを追加・修正を行ってもサービス影響のない安全な仕様となっています
ポリシー変更時の動作
例えば、以下のようなポリシーの場合
from Trust to Untrust
1行目 any any any・
・
・
100行目 192.168.1.0/24 10.10.10.1 telnet
・
・
・
もちろん最終行は「暗黙のdeny」なので、ポリシーにマッチしなければ通信が拒否されます
192.168.1.1から10.10.10.1(ciscoルータ)に”telnet”をすると
ポリシーは上から処理するので、1行目にマッチし通信が確立します
上記構成の時、1行目のポリシーを削除しても100行目にマッチするので、通信断は絶対に発生しない想定ですが、192.168.1.1から10.10.10.1へ”telnet”通信中に1行目のポリシーを削除すると通信はどうなるでしょうか?(検証①)
また、1行目のポリシーを101行目にmoveした場合は、通信断は発生するのでしょうか?(検証②)
そこから、101行目を削除した時に削除すると通信はどうなるでしょうか?(検証③)
細かい動きも気になるので、telnet接続後に”show tech-support”を実施して処理が止まるかも確認します
検証してみましょう
検証①
1.192.168.1.1から10.10.10.1へ”telnet”をする
2.”1”の通信が1行目のポリシーで適用されていることを確認
> get log traffic policy 1
~省略~
Total entries matched = 1
100行目が適用されていないことを確認
> get log traffic policy 100
No entry matched.
3.1行目ポリシーを消去する
4.”3”の時、通信断全く発生せず(”show tech-support”の処理とまらず)
5.通信が100行目のポリシーに適用されていることがわかる
> get log traffic policy 100
~省略~
Total entries matched = 1
検証②
1.192.168.1.1から10.10.10.1へ”telnet”をする
2.”1”の通信が1行目のポリシーで適用されていることを確認
> get log traffic policy 1
~省略~
Total entries matched = 1
100行目が適用されていないことを確認
> get log traffic policy 100
No entry matched.
3.1行目のポリシーを101行目にmoveする
4.”3”の時、通信断全く発生せず(”show tech-support”の処理とまらず)
5.ポリシーが101行目適用されていることがわかる
> get log traffic policy 101
~省略~
Total entries matched = 1
検証③
1.作業②の続きで、101行目のポリシーを削除する
2.”6”の時、通信断全く発生せず。(”show tech-support”の処理とまらず、telnetセッションは全く切れず)
3.ポリシーが100行目適用されていることがわかる
> get log traffic policy 100
~省略~
Total entries matched = 1
【結果】
ポリシーを削除しても、優先順位に関係なく代わりのポリシーがある場合は一切の通信断は発生せず、後にそのポリシーに適用がうつります
もっと細かく言うと、そのセッション自体は一旦許可されたので、通信が終わるまで影響がありません
再度セッションを張るときに新しいポリシーが適用されます
また、通信中に該当ポリシーをmoveコマンドで移動した場合は、適用状態は変わらないことがわかりました