| ファイアウォール機能 環境設定ガイド |
|
目次
索引
|
| 第3部 ファイアウォール機能独自環境設定(Solaris版/Windows版) | > 第13章 環境設定(Solaris版) |
本製品では、透過ゲートウェイ、サイト間暗号通信、ユーザ認証など、本製品の各機能を実現する場合は、必ず "IP パケットフィルタリング機能"を利用して各パケットを処理しています。このパケットを処理するための条件を“パケットフィルタリング条件”といいます。
本製品で設定できるパケットフィルタリングの条件には、以下のものがあります。
パケット通過( PASS )
パケット遮断( BLOCK )
透過ゲートウェイ( Trans )
アンチウィルス( AntiVirus )
Safegate 独自暗号通信( Crypt )
IP セキュリティ通信 手動鍵設定( IPsec )
IP セキュリティ通信 自動鍵交換( IKE )
ロギング( LOG )
上記の条件を、指定したネットワークインタフェース、ホスト、ネットワーク間で各サービスまたはサービスグループごとに設定することで、本製品の各機能を実現しています。
パケットフィルタリング条件は、パケットフィルタリング設定画面で設定します。パケットフィルタリング設定画面は、以下の手順で起動します。
セットアップ画面で、"IP フィルタリング"の要素を選択(ダブルクリック)または「条件設定」メニューから"パケットフィルタ"を選択します。パケットフィルタリング設定画面が表示されます。
以下に、パケットフィルタリング設定画面の設定項目について説明します。
設定されているサービスが一覧表示されるリストボックスです。すでにパケットフィルタリング条件が設定されているサービスの先頭に、"*" が表示されます。
フィルタリング条件を設定する場合、以下の手順で行ってください。
インタフェースのボタンをクリックし、リストボックスに表示されるインタフェースから対象となるインタフェースを選択します。
「サービス一覧」リストボックスからフィルタリング条件を設定するサービスを選択します。
マトリックスの縦軸と横軸にフィルタリング条件を設定する対象となる 2 つのホストを選択します。
該当するセルの上でマウスの右ボタンをクリックし、ポップアップメニューから設定する条件を設定します。
パケットフィルタリングの対象となるネットワークインタフェースを選択します。対象のネットワークインタフェースを選択すると、選択したインタフェースに接続されているホストおよびホストグループが画面の縦軸と横軸にマトリックス状に表示されます。
また、インタフェースを選択する場合、インタフェースに"under" があるパターンとないパターンが表示されます("under(le0)"など)。under は、対象のインタフェース配下に接続されているホストすべてを意味し、under があるインタフェースに接続しているホストに対してフィルタリング条件を設定することができます。under がないインタフェースの場合、本製品までの通信がフィルタリング対象であることを意味します。
以下に、under があるパターンとないパターンの場合ごとに、パケットフィルタリング条件の設定について説明します。
なお、以下では本製品がインストールされたシステムを「SDFW」と表しています。
le0 - under(le0) に対して条件を設定する場合
以下のホスト間での通信に対し、パケットフィルタリング条件を設定することを意味します。
under(le0) - under(le1) に対して条件を設定する場合
以下のホスト間での通信に対し、パケットフィルタリング条件を設定することを意味します。
パケットフィルタリング条件を設定するサービスを選択します。サービス名の先頭に“*(アスタリスク)”が表示されるサービスはすでにフィルタリング条件が設定されていることを示します。
選択できるサービスは、サービス設定またはサービスグループ設定で設定したサービス、または以下の総称サービス名です。
|
総称サービス名 |
説明 |
|---|---|
|
TCP-ALL |
TCP上のすべてのサービスを意味します。 送信元ポート、送信先ポートの制限はありません。 |
|
UDP-ALL |
UDP上のすべてのサービスを意味します。 送信元ポート、送信先ポートの制限はありません。 |
|
ICMP-ALL |
ICMP上のすべてのメッセージタイプを意味します。 |
|
ALL |
TCP-ALL、UDP-ALL、及びICMP-ALLすべてを意味します。 |
以下に、総称サービス名を利用して指定できる条件を示します。
|
総称サービス名 |
指定できるパケットフィルタリング条件 |
|||||
|---|---|---|---|---|---|---|
|
通過 PASS |
遮断 BLOCK |
透過 TRANS |
Safegate暗号 (SDFW暗号) CRYPT |
IPsec/IKE暗号 IPSEC/IKE |
アンチウィルス AntiVirus |
|
|
TCP-ALL |
OK |
OK |
OK |
OK |
OK |
NG |
|
UDP-ALL |
OK |
OK |
OK |
OK |
OK |
NG |
|
ICMP-ALL |
OK |
OK |
NG |
OK |
OK |
NG |
|
ALL |
OK |
OK |
NG |
OK |
OK |
NG |
OK:指定できる
NG:指定できない
縦軸と横軸に、それぞれ選択したネットワークインタフェースに接続されているホストまたはホストグループが表示されます。縦軸と横軸のホストまたはホストグループの交差点にあたるセルに対し、パケットフィルタリング条件を設定します。条件を設定したホストまたはホストグループ間で条件に従った通信が行われます。
パケットフィルタリング条件には、以下の種類があります。以下の条件は、条件を設定するセル上でマウスの右ボタンクリックで表示されるポップアップメニューから選択します。
Dual Pass(双方向のパケットの通過許可)
Forward Pass(横軸ホストから縦軸ホストへのパケットの通過許可)
Backward Pass(縦軸ホストから横軸ホストへのパケットの通過許可)
Dual Block(双方向のパケットの通過遮断)
Forward Block(横軸ホストから縦軸ホストへのパケットの通過遮断)
Backward Block(縦軸ホストから横軸ホストへのパケットの通過遮断)
Dual Trans(双方向のパケットを透過ゲートウェイのプロセスに中継)
Forward Trans(横軸ホストから縦軸ホストへのパケットを透過ゲートウェイのプロセスに中継)
Backward Trans(縦軸ホストから横軸ホストへのパケットを透過ゲートウェイのプロセスに中継)
Dual AntiVirus(双方向のパケットをアンチウィルスサーバへ中継)
Forward AntiVirus(横軸ホストから縦軸ホストへのパケットをアンチウィルスサーバに中継)
Backward AntiVirus(縦軸ホストから横軸ホストへのパケットをアンチウィルスサーバへ中継)
Crypt(双方向のパケットを暗号ゲートウェイプロセスに中継)
IPsec(双方向のパケットを IPsec ゲートウェイプロセスに中継)
IKE(双方向のパケットを IKE ゲートウェイプロセスに中継)
Logging(設定条件に合致するパケットの情報を記録するかどうかを指定)パケットフィルタリング条件を設定すると、自動的にロギング条件が設定されます。このとき、条件の横にログを採取することを示すマークが表示されます。この状態でさらに "Logging" を選択すると、ロギング条件の設定がクリアされ、ログが採取されなくなります。
また、サイト間暗号通信条件であるSDFW暗号(Safegate暗号)通信および IPセキュリティ通信(手動鍵設定/自動鍵交換)については、ロギング条件の設定にかかわらず常にログが採取されます。
なお、ポップアップメニューで、"CLEAR" を選択すると、選択したフィルタリング条件を削除(初期化)できます。
備考
以下の運用を行っている場合に、総称サービス名を利用してパケットフィルタリング条件を設定することを推奨します。
サイト間暗号通信を行う場合
条件を指定するホスト/ホストグループ間で、総称サービス名が意味するすべてのサービスに対して暗号通信を行う場合
透過モードゲートウェイを利用してアドレス変換を行う場合
条件を指定するホスト/ホストグループ間で、総称サービス名が意味するすべてのサービスに対してアドレス変換を行う場合
注
総称サービス名を使用してパケットフィルタリング条件を設定する場合、以下の点に注意してください。
データ中に別のコネクション情報を保持しているサービス(ftp、Streamworks、VDOLive、RealAudio、etc) に対しては、総称サービス名を使用せずに該当する個々のサービスごとにフィルタリング条件を設定してください。
TCP-ALL に対して条件を設定した場合、指定方向の要求とその応答に対する条件が設定されます。
UDP-ALL に対して PASS 条件または Trans 条件( NAT 方式)を設定した場合、指定方向( Dual、Forward、Backward ) に関わらずすべて Dual 条件として解釈されます( TCP のようにパケット情報による方向の識別が不可能であるため)。
ICMP-ALL に対して条件を設定した場合、指定方向( Dual、Forward、Backward )の条件だけが設定されます。要求に対する応答を期待する場合は、Dual の条件として設定する必要があります。
ALL に対して条件を設定した場合、TCP/UDP 以外のプロトコルに対しては、 指定された条件の方向 ( Dual、Forward、Backward )に対してだけ条件が設定されます。 要求に対する応答を期待する場合は、Dual の条件として設定する必要があります。
ICMP、ALLに対して「Trans」を設定すると、無効な条件として無視されます。
IP セキュリティ通信( IPsec / IKE )に対する条件設定
ホストグループ設定は使用できません。ネットワーク設定を使用してください。
送信元ポートと送信先ポートが同一の UDP サービスに対する条件設定
PASS 条件、Trans 条件( NAT 方式)を指定した場合は、Dual、Forward、Backward に関わらず全て同じ動作( Dual)となります(ただし、Broadcast アドレスを使用するサービスは対象外です)。
仮想アドレスが設定されているホスト/ネットワークに対する条件設定
仮想アドレスは、透過ゲートウェイ条件に対してのみ有効です。その他の条件では、実アドレスが使用されます。
同一インタフェース配下の構成要素間の条件設定
同一インタフェース配下の構成要素間の条件設定はできません。
以下に、パケットフィルタリング条件の設定手順について説明します。
パケットフィルタリングの条件を設定する場合は、以下の手順で行います。
パケットフィルタリング設定画面で、画面上部の"インタフェース"メニューから、条件を設定するネットワークインタフェースを選択します。選択したネットワークインタフェースに接続されているホストおよびホストグループが、画面中央のマトリクスに表示されます。
同様に、"サービス"メニューから、通信を許可するサービスを選択します。
フィルタリング条件を設定するセルの上で、マウスの右ボタンをクリックし、該当する条件を選択します。一つのセルに対し、条件を一つだけ設定できます。ただし、ロギング条件は、他のフィルタリング条件と重ねて設定できます。
"了解"ボタンをクリックすると、変更内容が反映され、セットアップ画面に戻ります。
すでに設定されているフィルタリング条件を削除する場合は、以下の手順で行います。
パケットフィルタリング設定画面で、条件を削除するセルの上で、マウスの右ボタンをクリックします。
メニューから "CLEAR" を選択します。
"了解"ボタンをクリックすると、変更内容が反映され、セットアップ画面に戻ります。
|
目次
索引
|