FireWall-1によるファイアウォール構築ファイアウォール運用の基礎(5)(3/4 ページ)

» 2001年09月22日 00時00分 公開
[田原祐介株式会社ラック]

ポリシーの作成と適用

 プロパティの設定を変更することによって、暗黙のルールがすべて無効になりましたが、このままポリシーを適用してしまうと、GUIでリモートからFireWall-1の管理ができなくなります。その状況を避けるためにも、最小限の管理用のルールを追加する必要があります。ファイアウォールのオブジェクトを作成したのと同じ手順で、画面11・12で示すオブジェクトを作成します。

画面11 上記の画面で示したようなオブジェクトを用意する画面12 上記の画面で示したようなオブジェクトを用意する 画面11・12 それぞれ上記の画面で示したようなオブジェクトを用意する(画面をクリックするとそれぞれ拡大表示します

 画面11で示されるオブジェクトは、GUIをインストールしたマシンで、イントラネット側に接続されています。画面12で示されるオブジェクトでは、ファイアウォールのイントラネット側のIPアドレスを指定しています。画面3の場合とは異なり、Typeが「Host」になっていることに気をつけてください。これらのオブジェクトを使ったルールを、画面13のように作成します。

画面13 FireWall-1の各種設定をリモートで行うGUIマシン用のルールを、画面5で作成したルールより上に記述する 画面13 FireWall-1の各種設定をリモートで行うGUIマシン用のルールを、画面5で作成したルールより上に記述する(画面をクリックすると拡大表示します

 ルールを追加するときは、ルールの順番に気をつけてください。FireWall-1は上から順番にルールのマッチングを行い、ルールにマッチするとそれ以上マッチングを行いません。そのため、画面13で示すように、どのルールにもマッチしなかった場合には、最後のルールが適用され、パケットはすべて破棄されます。

 新規にルールを追加した後は、各項目にマウスカーソルを合わせて右クリックで表示されるメニューから「Add...」を選択。表示される一覧から適当なものを選びます。例えば、Destinationには、画面12で作成したオブジェクトを選択します。また、Actionには「Accept」を、Trackには「Long」を設定します。さらに、最後のルールのTrackも「Long」にしておきましょう。

 「Long」は「Short」に比べて、詳細なログを記録するという意味です。非常に多くのアクセスが発生する「Accept」ルールに対しては、ログを取らないようにしたほうがパフォーマンスに優れますが、時々しか発生しないものに関しては、「Long」でログを記録しておきましょう。また、最後のルールに関しても「Long」でログを取るようにしておくと、不正アクセスの試みなどを、詳細にログに記録することができます。

 ここまで設定したら、ポリシーを保存しましょう。「File」→「Save」を実行すると、デフォルトで「Standard.W」というファイルにポリシーが保存されます*3。これはテキスト形式のファイルで、FireWall-1がインストールされたマシンの「FWDIR/conf/Standard.W」に保存されます(「FWDIR」はプログラムのインストール先)。また「FWDIR/conf/objects.C」には、オブジェクトの設定が保存されるため、この2つのファイルを保存しておけば、ポリシーのバックアップとなります。

*3特にダイアログは現れませんが、保存に成功するとウィンドウ下部のステータス表示領域に“Save completed successfully!”と表示されます


 次にポリシーを適用します。「Policy」→「Install...」を実行すると、画面14のようなダイアログボックスが表示されますが、これはポリシーをインストールする対象のオブジェクトを表しています。ここで、複数のオブジェクトが表示されることがあります。これは、片方がダウンしたらもう片方が動き出すような、冗長構成のファイアウォールとなっている場合に、それぞれのファイアウォールにまったく同じ内容のポリシーを簡単に適用できるようになっています。

画面14 ポリシーのインストール先の指定 画面14 ポリシーのインストール先の指定(画面をクリックすると拡大表示します

 ポリシーのインストールに成功すると、画面15のようなメッセージが表示されます。しかし、内容がバッティングしてしまうような矛盾するルールがあったりすると、画面16のようなエラーが表示されます。この場合、ポリシーのインストールは完了していないので、矛盾するルールを探して修正した後、あらためてポリシーの適用を行います。

画面15 ポリシーの適用に成功した場合の例 画面15 ポリシーの適用に成功した場合の例(画面をクリックすると拡大表示します
画面16 ポリシーの適用に失敗した場合の例 画面16 ポリシーの適用に失敗した場合の例(画面をクリックすると拡大表示します

Check Point、Check Pointのロゴ、FireWall-1、VPN-1および、その他関連製品は、Check Point Software Technologies Ltd. の商標もしくは登録商標です。また、記載された製品は米国の特許番号5,606,668および5,835,726によって保護されています。またその他の米国における特許や他の国における特許で保護されているか、出願中の可能性があります。


Copyright © ITmedia, Inc. All Rights Reserved.

スポンサーからのお知らせPR

注目のテーマ

Microsoft & Windows最前線2025
AI for エンジニアリング
ローコード/ノーコード セントラル by @IT - ITエンジニアがビジネスの中心で活躍する組織へ
Cloud Native Central by @IT - スケーラブルな能力を組織に
システム開発ノウハウ 【発注ナビ】PR
あなたにおすすめの記事PR

RSSについて

アイティメディアIDについて

メールマガジン登録

@ITのメールマガジンは、 もちろん、すべて無料です。ぜひメールマガジンをご購読ください。