Endian UTM

ファイアウォール設定

ファイアウォールはネットワークセキュリティの基本です。ネットワーク上を通過するトラフィックを、送信元、宛先、ポート番号でフィルタリングし、不正なネットワークアクセスからネットワークを保護します。

具体的な設定方法を説明する前に、Endian Firewallで使用されるネットワークセグメントの概念について説明しましょう。

Endian Firewallにおけるネットワークセグメント

Endian FirewallはIPCopの流れを継いでおり、特にネットワークセグメントの区分にその影響が見られます。

Endian Firewallでは、各ネットワークセグメントを色で区分し、搭載されたネットワークポート(NIC)にそれぞれのセグメントを割り当てる形でネットワークを構築します。Endian Networkで使用するネットワークセグメントは、以下のように色分けされています。

セグメント名説明
REDWAN(アップリンク)WAN側インターフェイスです。PPPoEや専用線などでインターネットに接続されるポートになり、信頼できないネットワークとみなされます。
ORANGEDMZ公開用サーバーなどを配置するDMZ(DeMilitarized Zone:非武装地帯)用インターフェイスです。Webサーバーやメールサーバーなど、インターネットから接続できることが求められるものの、ネットワークを一定のセキュリティのもとに保ち、万が一侵入されても他のネットワークセグメントに影響を与えないように隔離するために用いられます。
BLUEホットスポットEndian UTM製品版に搭載されているホットスポット機能で使用されるポートです。
GREENLANLAN側インターフェイスです。社内ネットワーク(構内ネットワーク)にあたり、信頼できるネットワークとして外部の攻撃から保護する必要があります。

今回は説明を分かりやすくするため、RED(WAN)とGREEN(LAN)のみの単純な構成を前提にします。

Endian Firewallでのファイアウォール設定の基本

Endian Firewallではさまざまなファイアウォール設定が可能ですが、細かい設定もできるため、ファイアウォールやUTMの扱いに慣れていない方は最初ちょっと戸惑われるかもしれません。大まかに言うと、Endian Firewallのファイアウォール機能は以下のようにまとめられます。

トラフィックの方向設定方法
GREEN(LAN)、ORANGEBLUEからRED(WAN)へ「送信トラフィック」で設定
GREEN(LAN)、ORANGEBLUEそれぞれのゾーン間「ゾーン間トラフィック」で設定
RED(WAN)からGREEN(LAN)、ORANGEBLUE「ポート転送/NAT」で設定

VPNトラフィックの制御方法についてはVPN設定の項で説明します。

送信トラフィックの設定

ここでは、GREEN(LAN)、ORANGEBLUEの各セグメントからRED(WAN)へのトラフィックを制御します。送信トラフィックは[ファイアウォール]-[送信トラフィック]で設定します。

送信トラフィック 概念図

Endian Firewallの初期状態では、以下のように設定されています。

これでわかるように、初期状態でも特定のポートのみしか許可されていません。家庭用ルータなどの場合、初期状態ではLANからWANへのアクセスは無制限(フルアクセス可能)に設定されていることもありますが、Endian Firewallの初期設定では必要なトラフィックのみを外部に出すように設定されています。

 
サブミッションポート(TCP/587)への通信を許可してみよう

使用しているインターネット回線やプロバイダによっては、スパムメール防止のため、メールを送信する際に使用されるSMTP(TCP/25)ポートでの通信が許可されていない場合があります。 その場合、代替ポートとして使用されるのがサブミッションポート(TCP/587)ですが、Endian Firewallでの初期状態ではこのポートの通信が許可されていません。

それで、GREENポートに接続されているPCからREDポートに対するサブミッションポートでの通信を許可するよう設定してみましょう。

スクリーンキャスト
 

ゾーン間トラフィックの設定

ここでは、GREENORANGEBLUEの各セグメント間でのトラフィックを制御します。

ゾーン間トラフィック 概念図

ゾーン間トラフィックは[ファイアウォール]-[ゾーン間トラフィック]で設定します。

Endian Firewallの初期状態では、以下のように設定されています。

  • GREENからORANGEBLUEへのトラフィックはすべて許可
  • ORANGEBLUE内同士のトラフィックはすべて許可
  • その他のゾーン間トラフィック(ORANGEBLUEの間、ORANGEBLUEからGREENへのトラフィックなど)はすべて遮断

ORANGEはDMZですので、ここからGREENへのトラフィックは原則として遮断しなければなりません。DMZ内のメールサーバーから社内のメールサーバーにメールを転送する必要がある場合など、ORANGEからGREENへのトラフィックを許可する必要がある場合には、ゾーン間ファイアウォールのルールを追加します。その際、ゾーン全体で許可するのではなく、ORANGEGREEN内のそれぞれのサーバーのIPアドレスを個別に指定した上で、特定のポートのトラフィック(メールであればTCP/25など)だけを許可するようにするのが安全です。

ポート転送/NATの設定

ここでは、RED(WAN)から他のセグメント(GREENORANGEBLUE)へのトラフィックを制御します。DMZ内で外部向けにサーバーを公開する場合などには必ずこの設定が必要になります。

ポート転送/NAT 概念図

ポート転送/NAT設定は[ファイアウォール]-[ポート転送/NAT]で設定します。

 
LAN内のサーバーをWebサーバーとして公開してみよう

GREENポートに接続されているPCをWebサーバーとして公開し、外部からアクセスできるようにしてみましょう。

REDインターフェイスの外部IPアドレス(192.168.0.222)へのポート80のアクセスを、LAN内のWebサーバー(192.168.100.100)に転送します。転送するポートは80(HTTP)のみとします。

今回は構成上、LAN上にあるサーバーを外部に公開する設定を説明しますが、セキュリティを確保するため、通常は外部公開するサーバーはLAN内には設置せず、DMZ上に設置するようにしてください。

スクリーンキャスト
 
セットアップガイド
Endian Firewall CEの概要
インストール
初期設定
機能ガイド
ダッシュボードとステータス
ファイアウォール
Webコンテンツフィルタ
VPN New
今後さらに記事を追加予定!
オンラインマニュアル
オンラインマニュアル(日本語版)
ユーザーズグループ
ユーザーズグループ New
Endian Firewall Community
Endian Distributor
プラムシステムズ株式会社は、日本初の
Endian公式ディストリビュータです。
© 2012 Plum Systems Inc.