| ファイアウォール機能 環境設定ガイド |
|
目次
索引
|
| 第3部 ファイアウォール機能独自環境設定(Solaris版/Windows版) | > 第11章 条件セットアップ(Windows版) |
パケットフィルタリング条件設定では、各サービスまたはサービスグループに対し、どのホスト間またはネットワーク間での通信を許可するのかを設定します。
以下の手順で設定します。
条件セットアップ画面で[フィルタリング]タブをクリックします。パケットフィルタリング画面が表示されます。
[フィルタリング]タブのリストの中から、パケットフィルタリング条件を設定するサービスを選択します。
[編集]メニューの[パケットフィルタリング条件を追加]コマンドを選択します。パケットフィルタリング条件ダイアログボックスが表示されます。 パケットフィルタリング条件を設定します。
[ OK ]ボタンをクリックします。パケットフィルタリング画面に戻ります。
設定した内容をパケットフィルタリングまたは各ゲートウェイサービスに反映する場合は、[ファイル]メニューの[上書き保存]コマンドを選択します。
注
同一のクライアントに対し、"IP パケットフィルタリング"と"透過ゲートウェイ"を混在して設定した場合、正しく処理されない場合があります。
送信元ポートと送信先ポートが同一の UDP サービスに対して、通過条件でIPパケットフィルタリング、透過ゲートウェイ(NAT 方式)を指定した場合は、dual、forward、backward に関わらず、全て双方向(dual)が指定されたものとみなします。(ただし、Broadcast アドレスを使用するサービスは対象外です)。また、透過ゲートウェイ(IPマスカレード方式)については、ポート番号の変換を行なえないため、IPパケットフィルタリングが指定されたものとみなします。
送信元ホスト、及び送信先ホスト双方に仮想アドレスを設定し、通過条件で透過ゲートウェイを指定しても、本指定は無視されます。なお、この場合、イベントログに不当な透過条件が指定されたことを示すエラーが通知され、パケットは破棄されます。
送信元ホスト、及び送信先ホスト双方に仮想アドレスを設定せず、通過条件で透過ゲートウェイを指定した場合、IPマスカレード方式でパケットを中継します。IPマスカレード方式はクライアントのアドレスをファイアウォール機能のサーバ側インタフェースアドレスに変更することで、プライベートアドレスを隠遁する目的で使用します。このため、方向はforward、又はbackwardにより、パケットの通過方向を明示してください。
UDP/ICMPについては、すべてのパケットがロギングされます。このため、UDP/ICMP上で大量データが転送されるマルチメディア系アプリケーションやSDFW暗号(またはSafegate暗号)パケットなどについては、ログファイル容量が圧迫される可能性があるため、フィルタリング設定で、「ログを採取しない」を指定してください。
パケットフィルタリング条件を設定するサービスを選択する場合、以下の総称サービス名を選択することができます。
|
総称サービス名 |
意味 |
|---|---|
|
TCP-ALL |
TCP 上のすべてのサービスを意味します。 |
|
UDP-ALL |
UDP 上のすべてのサービスを意味します。 |
|
ICMP-ALL |
ICMP 上のすべてのメッセージタイプを意味します。 |
|
ALL |
TCP-ALL、UDP-ALL および ICMP-ALL すべてを意味します。 |
以下に、総サービス名を利用して指定できる条件を示します。
|
指定できるパケットフィルタリング条件 |
総称サービス名 |
|||
|---|---|---|---|---|
|
TCP-ALL |
UDP-ALL |
ICMP-ALL |
ALL |
|
|
IPパケットフィルタリング |
○ |
○ |
○ |
○ |
|
BLOCK |
○ |
○ |
○ |
○ |
|
透過ゲートウェイ |
○ |
○ |
× |
× |
|
Safegate暗号(SDFW暗号)(注) |
○ |
○ |
○ |
○ |
|
IPsec暗号/IKE暗号(注) |
○ |
○ |
○ |
○ |
|
アンチウィルス |
× |
× |
× |
× |
○指定できる、×指定できない
(注)暗号通信条件ダイアログボックスで指定します。
備考
以下の運用を行っている場合に、総称サービス名を利用してパケットフィルタリング条件を設定することを推奨します。
サイト間暗号通信を行う場合(条件を指定するホスト間で、総称サービス名が意味するすべてのサービスに対して暗号通信を行う場合)
透過モード方式によるアプリケーションゲートウェイを利用してアドレス変換を行う場合(条件を指定するホスト間で、総称サービス名が意味するすべてのサービスに対してアドレス変換を行う場合)
注
総称サービス名を使用してパケットフィルタリング条件を設定する場合、以下の点に注意してください。
データ中に別のコネクション情報を保持しているサービス(ftp、VDOLive、RealAudio、etc) に対しては、総称サービス名を使用せずに該当する個々のサービスごとにフィルタリング条件を設定してください。
TCP-ALL に対して条件を設定した場合、指定方向の要求とその応答に対する条件が設定されます。
UDP-ALL に対して PASS 条件または Trans 条件( NAT 方式)を設定した場合、指定方向( Dual、 Forward、Backward ) に関わらずすべて Dual 条件として解釈されます( TCP のようにパケット情報による方向の識別が不可能であるため)。
ICMP-ALL に対して条件を設定した場合、指定方向( Dual、Forward、Backward )の条件だけが設定されます。要求に対する応答を期待する場合は、Dual の条件として設定する必要があります。
ALL に対して条件を設定した場合、TCP/UDP 以外のプロトコルに対しては、指定された条件の方向( Dual、Forward、Backward )に対してだけ条件が設定されます。 要求に対する応答を期待する場合は、Dual の条件として設定する必要があります。
ICMP-ALL、ALLに対して「透過ゲートウェイ」を設定すると、無効な条件として無視されます。
11.2.1 暗号通信条件設定11.2.2 ユーザ認証条件設定|
目次
索引
|