FireWall-1によるファイアウォール構築:ファイアウォール運用の基礎(5)(2/4 ページ)
インストール後の設定内容
●オブジェクトの作成
これで、FireWall-1の設定を行う準備が整いました。最初に、オブジェクトを作成する必要があります。オブジェクトとは、ネットワークを構成するネットワークやサーバなどのことで、例えばあるクライアントからサーバへの通信を許可するときは、クライアントとサーバのオブジェクトをそれぞれ定義しておかなければなりません。FireWall-1をインストールした直後は、オブジェクトが1つも存在しないので、とりあえずFireWall-1をインストールしたホストのオブジェクトを定義する必要があります。
ポリシーエディタの「Manage」→「Network Objects...」→「New..」→「Workstation...」から、以下のようにオブジェクトを定義します(画面3)。
| 項目 | 内容 |
|---|---|
| Name | オブジェクトの名前。任意の名前を付けられるが、FW1などは予約語となっているため使用することができない |
| IP Address | FireWall-1本体のIPアドレス。インターネット側のIPアドレスを指定する |
| Comment | このオブジェクトに対する任意のコメントを書くことができる |
| Color | ポリシーエディタで表示されるオブジェクトの色。同じネットワークのオブジェクトは同じ色を指定すると見やすい |
| Location | 管理下にあるファイアウォールモジュールの場合はInternalを指定する |
| Type | サーバのタイプで、複数のIPアドレスを持つ場合はGatewayを指定する |
| Modules Installed | インストールされている製品と、バージョンを指定する |
| Management Station | 管理サーバの場合は、これを有効にする。ここでは、デフォルトのままで使用する |
さらに、画面3のウィンドウから「Interfaces」タグを選択して、「Get」ボタンを押します。すると、ファイアウォールに割り当てられているIPアドレスを自動的に取得します。このとき、Anti-Spoofing(アンチスプーフィング)に関するメッセージが出ますが、ここでは無視して先に進みます(画面4)。
●デフォルトのルール
インストール直後の状態ではルールが存在しないので、とりあえずすべてのパケットを拒否するルールを作成します。「Edit」→「Add Rule」→「Top」でデフォルトのルールをリストの先頭に追加します(画面5)。ここで作成したルールは、常に一番下になっているようにしてください。理由は後述します。
ここで、追加されるルールの各項目の意味は以下のようになっています。
| 項目 | 内容 |
|---|---|
| No. | ルールに割り当てられた番号。ログを眺めるときに参考になる |
| Source | 送信元オブジェクト |
| Destination | 宛先オブジェクト |
| Service | 対象となるサービス。あらかじめ用意されているものもあるが、当てはまるものがない場合は、自分で作成することもできる |
| Action | マッチするパケットに対して、Accept/Drop/Rejectなどを実行する。Reject は、Dropに似ているが、発信元に拒否したことを知らせるパケットを投げるところが異なる。通常はAcceptとDropしか使わない |
| Track | おもにログを取るか取らないかを決める |
| Installed On | ルールを適用する対象。通常はデフォルトのままで使用 |
| Time | ルールを適用する時間帯 |
| Comment | このルールに対する任意のコメントを書くことができる |
この状態(画面5)で、ルールは1つしか存在しないように見えます。ところが、実際は目に見えないルールが存在します。これは「Implied Rules(暗黙のルール)」と呼ばれ、「View」→「Implied Rules」を選択すると表示させることができます(画面6)。
このように、相当数の暗黙のルールがあらかじめ用意されていることが分かります。これらのルールには必要のないものが多く、明示的に表示するように設定しないと見ることができないため、セキュリティ上好ましくありません。暗黙のルールは通常のルールの編集方法では消すことができませんが、これらから説明するプロパティの設定によって無効にすることができます。常に暗黙のルールも表示させておいて、余計なルールが存在しないかをチェックしながら作業を進めるようにするとよいでしょう。
●プロパティの設定
プロパティはFireWall-1のセキュリティレベルを決める重要な項目です。デフォルトの設定はセキュリティ上好ましくないので、必ず見直しを行いましょう。「Policy」→「Properties...」から以下の項目について、デフォルトから設定を変更します。ウィンドウ上部のタブからそれぞれの項目を選び、各設定を変更します(画面7〜10)。これらの設定を行うと、すべての暗黙のルール(画面6)が無効になります。これからもわかるように、いくつかのプロパティの設定はルールを追加することで実現されており、そのほとんどがFireWall-1の管理のために用意されています。
| タブ | 設定項目 | 変更 |
|---|---|---|
| Security Policy | Accept VPN-1 & FireWall-1 Control | On(First) →無効 |
| Accept Outgoing Packet Originating | On(Before Last)→無効 | |
| Log Implied Rules | 無効 →有効 | |
| Services | Enable RPC Control | 有効 →無効 |
| Log and Alert | IP Options Drop | None →Log |
| Access Lists | すべて | 有効 →無効 |
Copyright © ITmedia, Inc. All Rights Reserved.
注目のテーマ
ITmediaはアイティメディア株式会社の登録商標です。