市場には、さまざまな商用のファイアウォール製品がありますが、フリーソフトウェアを使ってファイアウォールを構築することも可能です。フリーソフトウェアと商用のファイアウォールを比べると、以下のような違いがあります。
●ポリシーの設計
ポリシーの設計は、GUIなどが用意されている商用ファイアウォールと比べて、フリーソフトウェアの場合は主にエディタなどでファイルを編集する必要があります。そのため、ある程度経験がある人でないとポリシーの設計は難しいでしょう。しかし、フリーソフトウェアはシンプルで導入が簡単なため、ファイアウォールの勉強には向いています。
●ログなどの管理
GUIでの閲覧機能などが用意されている商用ファイアウォールと比べ、フリーソフトウェアはテキスト形式でログを保存する機能ぐらいしか持っていません。しかし、ログを検索したり編集することは容易にできるため、ファイアウォールの勉強には向いています。
このように、フリーソフトウェアは商用ファイアウォールと比べると機能は劣りますが、その分簡単に使用することができるため、ファイアウォールの勉強や簡単なファイアウォールの構築に向いています。よく使われているソフトウェアには、以下のようなものがあります。中でも、IP Filterは幅広いOSに対応しているためお勧めです。
- IP Filter
対応OS:Solaris/BSD/IRIXなど - Netfilter(iptables)
対応OS:Linux 2.4以降
ファイアウォール構築前の準備
フリーソフトウェアを用いたファイアウォール構築の例として、Solaris 8 (Intel版) に IP Filterを導入してみましょう。最初に、NICが2枚挿入されているSolaris 8マシンを用意します。NIC(ネットワーク・インターフェイス・カード)が認識されていることを確認して、以下のようにIPアドレスを割り当てます。
インターフェイス | IPアドレス | ネットマスク | デフォルトゲートウェイ |
---|---|---|---|
iprb0*1 | 172.16.240.241 | 255.255.0.0 | 172.16.0.1 |
iprb1*1 | 192.168.0.1 | 255.255.0.0 | ― |
表1 2枚挿入されているNICそれぞれに割り当てるIPアドレスの値 |
*1インターフェイス名は、NICの種類によって異なります。環境に合わせて、読み替えてください
IPアドレスが正しく設定できているか、ifconfigコマンドで確認します。
ファイアウォール上では、メンテナンス用のリモートログインなどを除いて、ほとんどのサービスは必要ありません。不要なサービスが起動していると、万が一ファイアウォールのルールに抜けがあったとき、不正に利用されてしまう可能性があります。ファイアウォールの構築を始める前に、必要のないサービスはすべて停止しておきましょう。前回の記事(第2回「サーバの要塞化とTCP/IPの基礎知識」)を参考にして、管理用のtelnetサービスだけを残し、ほかの不必要なサービスをすべて無効にしてください。
Copyright © ITmedia, Inc. All Rights Reserved.