[index] AT-AR2010V コマンドリファレンス 5.4.6

UTM / ファイアウォール

Note - AMFとファイアウォールを併用する場合、AMFマネージメントサブネット（atmf management subnet）内の通信を許可する必要があります。さらに、AMF仮想リンクを使用している環境では、仮想リンクのパケットも許可してください（AMF応用編を参照）。

Note - 本製品のファイアウォールは厳密なセッション管理を行っているため、許可ルールに該当するトラフィックであっても、セッション情報が存在しないパケット（*）は転送せずに破棄します。（* TCP SYNパケットを受信していない状態でのTCP ACKパケットやTCP SYN/ACKパケット、ICMP Requestパケットを受信していない状態でのICMP Replyパケット等がこれに該当します）

1. ファイアウォール機能の設定を行うため、ファイアウォールモードに移行します。これにはfirewallコマンドを使います。
   

   awplus(config)# firewall ↓

   
   
2. ファイアウォール有効時はデフォルトですべてのトラフィックが拒否されるため、許可するトラフィックをpermitルールで明示的に指定する必要があります。ルールの作成は、ruleコマンドで行います。
   アクションには次の4つがあります。
   
   • permit（許可）
     
   • deny（破棄。送信元にエラーを返さない）
     
   • reject（破棄。送信元にエラーを返す）
     
   • log（パケットごとにログを記録）
     
   
   次のルールでは、内部を表すゾーン「private」から外部を表すゾーン「public」に宛てた通信をすべて許可するよう設定しています。ステートフルインスペクションにより、ファイアウォール経由の通信が開始されたときにはその状態が記憶されるため、戻りのパケットを許可するためのルールは不要です。
   

   awplus(config-firewall)# rule permit any from private to public ↓

   この例において、
   
   • 「any」はアプリケーション（ただし、ここではすべてのトラフィックを意味するキーワード「any」を指定している）
     
   • 「from private」は送信元エンティティー（ゾーン、ネットワーク、ホスト）
     
   • 「to public」は宛先エンティティー（ゾーン、ネットワーク、ホスト）
     
   を表します。
   
   「アプリケーション」と「エンティティー」の詳細は、「UTM」/「アプリケーション定義」、「UTM」/「エンティティー定義」をご覧ください。
   
   同様にして必要なルールを作成していきます。以下にいくつかの例を示します。
   
   
   • 内部ゾーン「private」内の各ネットワークから、同ゾーン内のネットワーク「wired」にあるホスト「dbserver」へのアクセスを許可。
     

     awplus(config-firewall)# rule permit mydb from private to private.wired.dbserver ↓

     ファイアウォールの適用対象はルーティングトラフィックであるため、ゾーン「private」に属するサブネットが1つだけのときはこのルールは不要ですが、ゾーン内に複数のサブネットが存在するときは同一ゾーン内であっても、サブネットをまたぐ通信に対しては明示的な許可ルールが必要な点にご注意ください。
     
     なお、ゾーン「private」内の通信を完全に自由にするには、次のようなルールを設定します。
     ネットワーク構成にもよりますが、通常は本製品のプライベート側インターフェースへのアクセス（Telnet/SSHなど）にもこのルールが必要です。
     

     awplus(config-firewall)# rule permit any from private to private ↓

     
     
   • 内部ゾーン「private」ネットワーク「wired」上のホスト「adminpc」から、ゾーン「dmz」上のネットワーク「servernet」へのSSH通信を許可。
     

     awplus(config-firewall)# rule permit ssh from private.wired.adminpc to dmz.servernet ↓

     
     
   • 外部ゾーン「public」から、ゾーン「dmz」上のネットワーク「servernet」にあるホスト「web」へのHTTP通信を許可。ここでは、logオプションにより通信開始のログも記録しています。
     

     awplus(config-firewall)# rule permit http from public to dmz.servernet.web log ↓

     
     
   • 外部ゾーン「public」ネットワーク「internet」上のホスト「vpngw」から「myself」へのIPsec通信（ISAKMPとESP）を許可。ここでは、ホスト「public.internet.myself」がルーターのWAN側IPアドレスを、「public.internet.vpngw」が対向IPsecルーターのIPアドレスを定義していると仮定しています。
     

     awplus(config-firewall)# rule permit isakmp from public.internet.vpngw to public.internet.myself ↓ awplus(config-firewall)# rule permit esp from public.internet.vpngw to public.internet.myself ↓

   
   
3. ファイアウォール機能を有効化します。これにはprotectコマンドを使います。
   

   awplus(config-firewall)# protect ↓

Note - IPスプーフィング検出はファイアウォール機能が無効でも動作します。

Note - 検出後のパケットはすべて破棄されます。この動作を変更することはできません。

• Syn Flood
  特定の始点IPv4アドレスを持つTCP SYNパケットの数が、基準時間内（1秒以内）にしきい値に達したときに、該当攻撃を検出したとみなします。
  
  
• ICMP Flood
  特定の始点IPv4アドレスを持つICMPパケットの数が、基準時間内（1秒以内）にしきい値に達したときに、該当攻撃を検出したとみなします。
  
  
• UDP Flood
  特定の始点IPv4アドレスを持つUDPパケットの数が、基準時間内（1秒以内）にしきい値に達したときに、該当攻撃を検出したとみなします。
  
  
• TCP Stealth Scan
  次のいずれかの条件に一致するTCPパケットを検出したときに、該当攻撃を検出したとみなします（IPv4のみサポート対象）。
  
  
  • NAT機能を併用している場合
    
    • 制御フラグが1つもセットされていない
      
    • FIN/URG/PSHフラグだけがセットされている
      
    • FINフラグだけがセットされている
      
    • SYN/FINフラグだけがセットされている
      
    • SYN/RSTフラグだけがセットされている
      
    
    
  • NAT機能を併用していない場合
    
    • 制御フラグが1つもセットされていない
      
    • SYN/FINフラグだけがセットされている
      
    • SYN/RSTフラグだけがセットされている
      
  
  
• IPスプーフィング
  次のいずれかの条件に一致するIPv4パケットを検出したときに、該当攻撃を検出したとみなします。
  
  
  • 始点IPv4アドレスが自インターフェースのIPv4アドレスと一致
    
  • 始点IPv4アドレスがNAT機能のグローバル側IPv4アドレスと一致
    

Note - 本機能はTCPのみを監視しており、他のプロトコルは監視しません。また、本機能有効時は1秒間あたりのTCPセッション登録数に制限がかかります（50セッション/秒）。

awplus(config-firewall)# connection-limit from public.wan.hostA with limit 20 ↓

awplus(config-firewall)# connection-limit from public.netA with limit 10 ↓

awplus# show firewall ↓ Firewall protection is enabled Active connections: 21

awplus# show firewall connections ↓ tcp ESTABLISHED src=192.168.1.2 dst=172.16.1.2 sport=58616 dport=23 packets=16 bytes=867 src=172.16.1.2 dst=172.16.1.1 sport=23 dport=58616 packets=11 bytes=636 [ASSURED] icmpv6 src=2001:db8::2 dst=2001:db8::1 type=128 code=0 id=1416 packets=34 bytes=3536 src=2001:db8::1 dst=2001:db8::2 type=129 code=0 id=1416 packets=34 bytes=3536 tcp TIME_WAIT src=2001:db8:1::2 dst=2001:db8:2::2 sport=42532 dport=80 packets=7 bytes=597 src=2001:db8:2::2 dst=2001:db8:1::2 sport=80 dport=42532 packets=5 bytes=651 [ASSURED] tcp TIME_WAIT src=2001:db8:1::2 dst=2001:db8:2::2 sport=48740 dport=80 packets=5 bytes=564 src=2001:db8:2::2 dst=2001:db8:1::2 sport=80 dport=48740 packets=5 bytes=594 [ASSURED]

awplus# clear firewall connections ↓

Note - 本コマンドを実行すると、ファイアウォール経由のTCP通信が切断されるため注意してください。UDPやICMPの通信は継続されます。

awplus# show firewall rule ↓ [* = Rule is not valid - see "show firewall rule config-check"] ID Action App From To Hits -------------------------------------------------------------------------------- 10 permit openvpn public private 0 20 deny samba-tcp private public 0 30 deny samba-udp private public 0 40 permit ssh branch private 0

awplus# show firewall rule config-check ↓ Rule 10: Application does not have a protocol configured

• ルール内で指定したアプリケーションの定義において、IPプロトコルが指定されていない。
  

awplus# show firewall rule config-check ↓ All rules are valid

awplus(config)# log buffered level informational program kernel msgtext Firewall ↓

(C) 2016 アライドテレシスホールディングス株式会社

PN: 613-002311 Rev.B