| ファイアウォール機能 管理者ガイド |
|
目次
索引
|
| 第2章 機能 | > 2.1 IP パケットフィルタリング機能 |
本製品では、IPパケットフィルタリング機能が参照するアクセス制御ポリシーは、「パケットフィルタリング条件」(又は、「フィルタリング条件」、「フィルタルール」とも呼びます)で設定します。
パケットフィルタリング条件では、通過させたいパケットを"通過"条件として明示的に設定します。設定した条件に合致するパケットを通過させ、設定条件に合致しないその他のパケットを遮断します。
例外的に、ある範囲で一部だけを通過させたくない場合は、ある範囲に対して“通過”の設定を行った上で通過させたくない一部を“遮断”として設定します。
本製品では、“遮断”を行う動作として、以下の2通りの動作を設定できます。
破棄
パケットを破棄しますが、送信元には破棄したことは通知されません。
拒否
パケットを破棄し、送信元には送信先から拒否されたように通知します。
通常は、「破棄」を設定します。
ただし、「破棄」より送信元の動作に影響がある場合には「拒否」を設定します。
Linux版では、「拒否」をサポートしていません。パケットを遮断する場合は、「破棄」を設定します。
アクセス制御ポリシーに関するフィルタリング条件は、大きく以下の要素群に分類できます。
フィルタ条件
動作
以下に、それぞれの構成要素について説明します。
アクセス制御ポリシーを適用するIPパケットを識別する情報を表現します。
パケットフィルタリング機能は、実際に受信したIPパケットの情報から本フィルタ条件を評価し、本フィルタ条件に合致するIPパケットに対して、「動作」で指定されたアクセス制御機能を適用します。
フィルタ条件には以下の情報が含まれます。
IPパケットに含まれるIPプロトコル情報を識別します。
IPパケットに含まれるIPアドレス情報を識別します。
それぞれのIPアドレスは、一意に端末を識別するホストアドレス、IPネットワーク体系上で複数の端末を表現するネットワークアドレス、又は、サブネットワークアドレスを指定できます。
統合環境設定の場合、IPアドレスとして、IPv4、又はIPv6アドレスの指定ができます。なお、送信元と送信先は同じIPバージョンである必要があります。
|
送信元IPアドレス |
送信先IPアドレス |
動作可否 |
|---|---|---|
|
IPv4 |
IPv4 |
OK |
|
IPv6 |
NG |
|
|
IPv6 |
IPv4 |
NG |
|
IPv6 |
OK |
ファイアウォール独自環境設定の場合、IPアドレスとして、IPv4アドレスの指定のみ可能です。
IPパケットに含まれるポート番号を識別します。
それぞれのポート番号は、一意のポート番号、又はポート番号範囲による指定ができます。
なお、送信元ポート番号は、デフォルトではAnyポート(1024以上)が指定されたものとみなしますので、Anyポートを使用しないアプリケーション(1023以下)や、特定の送信元ポート番号を利用するアプリケーションについては、環境設定で、アプリケーションが使用するポート番号を明示的に指定してください。
IPパケットを送受信するネットワークインタフェースを識別します。
なお、IPv6環境で利用する場合、IPv6プロトコルをサポートできるよう、あらかじめネットワークインタフェースを構成しておく必要があります。
|
送受信IPパケット |
ネットワークインタフェース構成 |
動作可否 |
|---|---|---|
|
IPv4 |
IPv4 |
OK |
|
IPv6 |
NG |
|
|
IPv4/IPv6 |
OK |
|
|
IPv6 |
IPv4 |
NG |
|
IPv6 |
OK |
|
|
IPv4/IPv6 |
OK |
|
|
IPv4またはIPv6 |
IPv4 |
OK(IPv4のみ) |
|
IPv6 |
OK(IPv6のみ) |
|
|
IPv4/IPv6 |
OK |
IPv4/IPv6:IPv4とIPv6のデュアルスタック構成
TCPプロトコルの場合に有効で、IPパケットに含まれるTCPコネクションの確立方向(SYNフラグだけがセットされたTCPパケットの通信方向)を識別します。
フィルタ条件にヒットしたIPパケットに対する動作を表現します。
アクセス制御機能では、以下の動作を設定できます。
通過
IPパケットをそのまま通過させます。
破棄
IPパケットを破棄します。
すなわち、当該IPパケットは消滅します。
拒否
IPパケットの送信元に対して、拒否応答パケットを通知します。
拒否応答パケットの内容は、オリジナルパケットのIPプロトコルにより異なります。
|
オリジナル |
応答パケット |
備考 |
|---|---|---|
|
TCP |
TCP RST |
RFC 793 |
|
UDP |
ICMP Type=Destination Unreachable(3) Code=Port Unreachable(1) |
RFC 792 |
|
ICMP |
ICMP Type=Destination Unreachable(3) Code=Communication administratively Prohibited(13) |
RFC 1716 |
|
AH |
ICMP Type=Destination Unreachable(3) Code=Communication administratively Prohibited(13) |
RFC 1716 |
|
ESP |
ICMP Type=Destination Unreachable(3) Code=Communication administratively Prohibited(13) |
RFC 1716 |
|
その他 |
ICMP Type=Destination Unreachable(3) Code=Communication administratively Prohibited(13) |
RFC 1716 |
なお、いずれの応答パケットについても、送信元IPアドレスは、オリジナルパケットの「送信先IPアドレス」を設定しています。
SDFWログ採取
ログ情報を採取します。
本製品では、受信したIPパケットに適用されるフィルタリング条件の検索の最後で、必ずヒットし、かつ破棄動作が指定されたAny条件を自動的に追加しています。
これにより、設定されたフィルタリング条件にヒットしないIPパケットは破棄されます。
|
目次
索引
|