検索
連載

FireWall-1によるファイアウォール構築ファイアウォール運用の基礎(5)(4/4 ページ)

PC用表示 関連情報
Share
Tweet
LINE
Hatena
前のページへ |       

その他の設定

 あとはシステムの要件に合わせてルールを作成すれば、セキュアなファイアウォールができ上がります。最後に、アンチスプーフィングの設定も忘れずに行います。スプーフィングとは、IPアドレスの偽造のことです。スプーフィング対策が行われていないファイアウォールでは、本来通過させるべきでないパケットを、アドレスを偽造されることで通過させてしまうことがあります。

 FireWall-1でのスプーフィング対策の設定は、画面4のウィンドウから各インターフェイスごとに行います。各インターフェイスを選択しておいて、「Edit...」で次に進みます。次に表示されるウィンドウで、「Security」タブを選択して以下のような設定を行います(画面17)。

画面17 インターネット側インターフェイスの設定
画面17 インターネット側インターフェイスの設定(画面をクリックすると拡大表示します
インターフェイス Valid Address Spoof Tracking 意味
インターネット側 Others Log このオブジェクトに接続されたネットワーク以外からのパケットのみ許可。拒否されたパケットはログに記録する
イントラネット側 This net Log このインターフェイスに接続されたネットワークからのパケットのみ許可。拒否されたパケットはログに記録する

 以上のアンチスプーフィングの設定は、インターネットと(1つの)イントラネットという単純な構成のネットワークの場合でした。DMZや複数の内部ネットワークが存在するような場合は、別のValid Addressの設定を行う必要があります。そのような場合には、マニュアルをよく読んで十分に理解してから設定することをお勧めします。

 アンチスプーフィングの設定は非常にわかりづらい個所にあるため、トラブルが発生してもアンチスプーフィングの設定まで気が回らないことがあります。そのため、Valid Addressを「Any(すべて許可)」に設定しておいて、プロパティやポリシーの設定が完了し、動作確認ができてからアンチスプーフィングの設定を行うと、トラブルを未然に防ぐことができます。

ポリシー作成のコツ

 以上で、FireWall-1の設定がひととおり完了しました。そのほかにも、NATの設定などがありますが、詳しいことはマニュアルを参照してください。また、ネットワーク構成が複雑になると、設定しなければならないルールは相当な数になります。そのため、きちんとした計画に基づいてポリシーを作成、およびファイアウォールを構築する必要があります。

 特に、以下のことに気をつけるとよいでしょう。

  • 慣れないうちに、最初から完璧なポリシーを作ろうと思わない
     どんなファイアウォールでもそうですが、慣れないうちに完璧なルールを作ろうとしても、複雑になりすぎたあげく、失敗してしまうことがよくあります。まずは、できることとできないことを、試行錯誤しながら取得します。そのうえで、本番マシンのポリシー作成に取りかかるとよいでしょう。

  • ポリシーはできるだけシンプルに、思いつきで変更しない
     ポリシー作成を行う前に、通す必要があるサービスと、必要ないものを明確に文章化しておきましょう。それをもとに、あらかじめ紙の上でポリシーを作成しておくのもよい方法です。最も危険なのは、最初の計画から外れて、その場の思いつきでルールを変更してしまうことです。計画性のないポリシーは、セキュリティホールを生みかねません。

 次回は、ファイアウォール運用のコツとトラブルシューティングを紹介します。また、次期バージョンのFireWall-1である「FireWall-1 NG」と、他社の製品についても紹介する予定です。

Check Point、Check Pointのロゴ、FireWall-1、VPN-1および、その他関連製品は、Check Point Software Technologies Ltd. の商標もしくは登録商標です。また、記載された製品は米国の特許番号5,606,668および5,835,726によって保護されています。またその他の米国における特許や他の国における特許で保護されているか、出願中の可能性があります。



Copyright © ITmedia, Inc. All Rights Reserved.

前のページへ |       

Security & Trust 記事ランキング

  1. 「SMSは認証に使わないで」 米CISA、モバイル通信を保護する8つのベストプラクティスを公開
  2. 終わらせましょう。複雑過ぎるKubernetes/クラウドネイティブが生む心理的安全性の低下を――無料でクラウドセキュリティの勘所が分かる130ページの電子書籍
  3. 3割程度のSaaS事業者が標準的なセキュリティ対策をしていない アシュアードがSaaS事業者を調査
  4. 「生成AIのサイバー攻撃への悪用」は増加する? 徳丸浩氏が予測する2025年のセキュリティ
  5. Google Chromeの拡張機能を安全に使用するには? Googleが解説
  6. 高度なAIでAIをテスト OpenAIが実践するAIモデルのレッドチーム演習とは
  7. AWS、組織のセキュリティインシデント対応を支援する「AWS Security Incident Response」を発表 アラートに圧倒されるセキュリティチームをどう支援?
  8. Google、オープンソースのセキュリティパッチ検証ツール「Vanir」を公開 多種多様なAndroidデバイスの脆弱性対応を支援するアプローチとは
  9. 「SQLite」のゼロデイ脆弱性、GoogleのAIエージェントが見つける AIは脆弱性調査の課題をどう解決したのか?
  10. 「このままゼロトラストへ進んでいいの?」と迷う企業やこれから入門する企業も必見、ゼロトラストの本質、始め方/進め方が分かる無料の電子書籍
ページトップに戻る