FireWall-1によるファイアウォール構築ファイアウォール運用の基礎(5)(2/4 ページ)

» 2001年09月22日 00時00分 公開
[田原祐介株式会社ラック]

インストール後の設定内容

●オブジェクトの作成

 これで、FireWall-1の設定を行う準備が整いました。最初に、オブジェクトを作成する必要があります。オブジェクトとは、ネットワークを構成するネットワークやサーバなどのことで、例えばあるクライアントからサーバへの通信を許可するときは、クライアントとサーバのオブジェクトをそれぞれ定義しておかなければなりません。FireWall-1をインストールした直後は、オブジェクトが1つも存在しないので、とりあえずFireWall-1をインストールしたホストのオブジェクトを定義する必要があります。

 ポリシーエディタの「Manage」→「Network Objects...」→「New..」→「Workstation...」から、以下のようにオブジェクトを定義します(画面3)。

画面3 ファイアウォールオブジェクトの作成(画面をクリックすると拡大表示します) 画面3 ファイアウォールオブジェクトの作成(画面をクリックすると拡大表示します
項目 内容
Name オブジェクトの名前。任意の名前を付けられるが、FW1などは予約語となっているため使用することができない
IP Address FireWall-1本体のIPアドレス。インターネット側のIPアドレスを指定する
Comment このオブジェクトに対する任意のコメントを書くことができる
Color ポリシーエディタで表示されるオブジェクトの色。同じネットワークのオブジェクトは同じ色を指定すると見やすい
Location 管理下にあるファイアウォールモジュールの場合はInternalを指定する
Type サーバのタイプで、複数のIPアドレスを持つ場合はGatewayを指定する
Modules Installed インストールされている製品と、バージョンを指定する
Management Station 管理サーバの場合は、これを有効にする。ここでは、デフォルトのままで使用する

 さらに、画面3のウィンドウから「Interfaces」タグを選択して、「Get」ボタンを押します。すると、ファイアウォールに割り当てられているIPアドレスを自動的に取得します。このとき、Anti-Spoofing(アンチスプーフィング)に関するメッセージが出ますが、ここでは無視して先に進みます(画面4)。

画面4 ファイアウォールの各インターフェイスの設定(画面をクリックすると拡大表示します) 画面4 ファイアウォールの各インターフェイスの設定(画面をクリックすると拡大表示します

●デフォルトのルール

 インストール直後の状態ではルールが存在しないので、とりあえずすべてのパケットを拒否するルールを作成します。「Edit」→「Add Rule」→「Top」でデフォルトのルールをリストの先頭に追加します(画面5)。ここで作成したルールは、常に一番下になっているようにしてください。理由は後述します。

画面5 すべてのパケットをDropするルールを追加する(画面をクリックすると拡大表示します) 画面5 すべてのパケットをDropするルールを追加する(画面をクリックすると拡大表示します

 ここで、追加されるルールの各項目の意味は以下のようになっています。

項目 内容
No. ルールに割り当てられた番号。ログを眺めるときに参考になる
Source 送信元オブジェクト
Destination 宛先オブジェクト
Service 対象となるサービス。あらかじめ用意されているものもあるが、当てはまるものがない場合は、自分で作成することもできる
Action マッチするパケットに対して、Accept/Drop/Rejectなどを実行する。Reject は、Dropに似ているが、発信元に拒否したことを知らせるパケットを投げるところが異なる。通常はAcceptとDropしか使わない
Track おもにログを取るか取らないかを決める
Installed On ルールを適用する対象。通常はデフォルトのままで使用
Time ルールを適用する時間帯
Comment このルールに対する任意のコメントを書くことができる

 この状態(画面5)で、ルールは1つしか存在しないように見えます。ところが、実際は目に見えないルールが存在します。これは「Implied Rules(暗黙のルール)」と呼ばれ、「View」→「Implied Rules」を選択すると表示させることができます(画面6)。

画面6 暗黙のルールは黄色や緑(選択されたもの)で表示される(画面をクリックすると拡大表示します) 画面6 暗黙のルールは黄色や緑(選択されたもの)で表示される(画面をクリックすると拡大表示します

 このように、相当数の暗黙のルールがあらかじめ用意されていることが分かります。これらのルールには必要のないものが多く、明示的に表示するように設定しないと見ることができないため、セキュリティ上好ましくありません。暗黙のルールは通常のルールの編集方法では消すことができませんが、これらから説明するプロパティの設定によって無効にすることができます。常に暗黙のルールも表示させておいて、余計なルールが存在しないかをチェックしながら作業を進めるようにするとよいでしょう。

●プロパティの設定

 プロパティはFireWall-1のセキュリティレベルを決める重要な項目です。デフォルトの設定はセキュリティ上好ましくないので、必ず見直しを行いましょう。「Policy」→「Properties...」から以下の項目について、デフォルトから設定を変更します。ウィンドウ上部のタブからそれぞれの項目を選び、各設定を変更します(画面7〜10)。これらの設定を行うと、すべての暗黙のルール(画面6)が無効になります。これからもわかるように、いくつかのプロパティの設定はルールを追加することで実現されており、そのほとんどがFireWall-1の管理のために用意されています。

タブ 設定項目 変更
Security Policy Accept VPN-1 & FireWall-1 Control On(First) →無効
Accept Outgoing Packet Originating On(Before Last)→無効
Log Implied Rules 無効 →有効
Services Enable RPC Control 有効 →無効
Log and Alert IP Options Drop None →Log
Access Lists すべて 有効 →無効
画面7 Security Policyのプロパティ設定例画面8 Servicesのプロパティ設定例 画面7、画面8 Security Policy(左)、Services(右)のプロパティ設定例(画面をクリックするとそれぞれ拡大表示します
画面9 Log and Alertのプロパティ設定例画面10 Access Listsのプロパティ設定例 画面9、画面10 Log and Alert(左)、Access Lists(右)のプロパティ設定例(画面をクリックするとそれぞれ拡大表示します

Copyright © ITmedia, Inc. All Rights Reserved.

RSSについて

アイティメディアIDについて

メールマガジン登録

@ITのメールマガジンは、 もちろん、すべて無料です。ぜひメールマガジンをご購読ください。