その他の設定
あとはシステムの要件に合わせてルールを作成すれば、セキュアなファイアウォールができ上がります。最後に、アンチスプーフィングの設定も忘れずに行います。スプーフィングとは、IPアドレスの偽造のことです。スプーフィング対策が行われていないファイアウォールでは、本来通過させるべきでないパケットを、アドレスを偽造されることで通過させてしまうことがあります。
FireWall-1でのスプーフィング対策の設定は、画面4のウィンドウから各インターフェイスごとに行います。各インターフェイスを選択しておいて、「Edit...」で次に進みます。次に表示されるウィンドウで、「Security」タブを選択して以下のような設定を行います(画面17)。
| インターフェイス | Valid Address | Spoof Tracking | 意味 |
|---|---|---|---|
| インターネット側 | Others | Log | このオブジェクトに接続されたネットワーク以外からのパケットのみ許可。拒否されたパケットはログに記録する |
| イントラネット側 | This net | Log | このインターフェイスに接続されたネットワークからのパケットのみ許可。拒否されたパケットはログに記録する |
以上のアンチスプーフィングの設定は、インターネットと(1つの)イントラネットという単純な構成のネットワークの場合でした。DMZや複数の内部ネットワークが存在するような場合は、別のValid Addressの設定を行う必要があります。そのような場合には、マニュアルをよく読んで十分に理解してから設定することをお勧めします。
アンチスプーフィングの設定は非常にわかりづらい個所にあるため、トラブルが発生してもアンチスプーフィングの設定まで気が回らないことがあります。そのため、Valid Addressを「Any(すべて許可)」に設定しておいて、プロパティやポリシーの設定が完了し、動作確認ができてからアンチスプーフィングの設定を行うと、トラブルを未然に防ぐことができます。
ポリシー作成のコツ
以上で、FireWall-1の設定がひととおり完了しました。そのほかにも、NATの設定などがありますが、詳しいことはマニュアルを参照してください。また、ネットワーク構成が複雑になると、設定しなければならないルールは相当な数になります。そのため、きちんとした計画に基づいてポリシーを作成、およびファイアウォールを構築する必要があります。
特に、以下のことに気をつけるとよいでしょう。
- 慣れないうちに、最初から完璧なポリシーを作ろうと思わない
どんなファイアウォールでもそうですが、慣れないうちに完璧なルールを作ろうとしても、複雑になりすぎたあげく、失敗してしまうことがよくあります。まずは、できることとできないことを、試行錯誤しながら取得します。そのうえで、本番マシンのポリシー作成に取りかかるとよいでしょう。
- ポリシーはできるだけシンプルに、思いつきで変更しない
ポリシー作成を行う前に、通す必要があるサービスと、必要ないものを明確に文章化しておきましょう。それをもとに、あらかじめ紙の上でポリシーを作成しておくのもよい方法です。最も危険なのは、最初の計画から外れて、その場の思いつきでルールを変更してしまうことです。計画性のないポリシーは、セキュリティホールを生みかねません。
次回は、ファイアウォール運用のコツとトラブルシューティングを紹介します。また、次期バージョンのFireWall-1である「FireWall-1 NG」と、他社の製品についても紹介する予定です。
Check Point、Check Pointのロゴ、FireWall-1、VPN-1および、その他関連製品は、Check Point Software Technologies Ltd. の商標もしくは登録商標です。また、記載された製品は米国の特許番号5,606,668および5,835,726によって保護されています。またその他の米国における特許や他の国における特許で保護されているか、出願中の可能性があります。
Copyright © ITmedia, Inc. All Rights Reserved.