[index] AT-AR3050S/AT-AR4050S コマンドリファレンス 5.4.5

UTM / ファイアウォール

1. ファイアウォール機能の設定を行うため、ファイアウォールモードに移行します。これにはfirewallコマンドを使います。
   

   awplus(config)# firewall ↓

   
   
2. ファイアウォール有効時はデフォルトですべてのトラフィックが拒否されるため、許可するトラフィックをpermitルールで明示的に指定する必要があります。ルールの作成は、ruleコマンドで行います。
   アクションには次の4つがあります。
   
   • permit（許可）
     
   • deny（破棄。送信元にエラーを返さない）
     
   • reject（破棄。送信元にエラーを返す）
     
   • log（パケットごとにログを記録）
     
   
   次のルールでは、内部を表すゾーン「private」から外部を表すゾーン「public」に宛てた通信をすべて許可するよう設定しています。ステートフルインスペクションにより、ファイアウォール経由の通信が開始されたときにはその状態が記憶されるため、戻りのパケットを許可するためのルールは不要です。
   

   awplus(config-firewall)# rule permit any from private to public ↓

   この例において、
   
   • 「any」はアプリケーション（ただし、ここではすべてのトラフィックを意味するキーワード「any」を指定している）
     
   • 「from private」は送信元エンティティー（ゾーン、ネットワーク、ホスト）
     
   • 「to public」は宛先エンティティー（ゾーン、ネットワーク、ホスト）
     
   を表します。
   
   「アプリケーション」と「エンティティー」の詳細は、「UTM」/「アプリケーション定義」、「UTM」/「エンティティー定義」をご覧ください。
   
   同様にして必要なルールを作成していきます。以下にいくつかの例を示します。
   
   
   • 内部ゾーン「private」内の各ネットワークから、同ゾーン内のネットワーク「wired」にあるホスト「dbserver」へのアクセスを許可。
     

     awplus(config-firewall)# rule permit mydb from private to private.wired.dbserver ↓

     ファイアウォールの適用対象はルーティングトラフィックであるため、ゾーン「private」に属するサブネットが1つだけのときはこのルールは不要ですが、ゾーン内に複数のサブネットが存在するときは同一ゾーン内であっても、サブネットをまたぐ通信に対しては明示的な許可ルールが必要な点にご注意ください。
     
     なお、ゾーン「private」内の通信を完全に自由にするには、次のようなルールを設定します。
     ネットワーク構成にもよりますが、通常は本製品のプライベート側インターフェースへのアクセス（Telnet/SSHなど）にもこのルールが必要です。
     

     awplus(config-firewall)# rule permit any from private to private ↓

     
     
   • 内部ゾーン「private」ネットワーク「wired」上のホスト「adminpc」から、ゾーン「dmz」上のネットワーク「servernet」へのSSH通信を許可。
     

     awplus(config-firewall)# rule permit ssh from private.wired.adminpc to dmz.servernet ↓

     
     
   • 外部ゾーン「public」から、ゾーン「dmz」上のネットワーク「servernet」にあるホスト「web」へのHTTP通信を許可。ここでは、logオプションにより通信開始のログも記録しています。
     

     awplus(config-firewall)# rule permit http from public to dmz.servernet.web log ↓

     
     
   • 外部ゾーン「public」ネットワーク「internet」上のホスト「vpngw」から「myself」へのIPsec通信（ISAKMPとESP）を許可。ここでは、ホスト「public.internet.myself」がルーターのWAN側IPアドレスを、「public.internet.vpngw」が対向IPsecルーターのIPアドレスを定義していると仮定しています。
     

     awplus(config-firewall)# rule permit isakmp from public.internet.vpngw to public.internet.myself ↓ awplus(config-firewall)# rule permit esp from public.internet.vpngw to public.internet.myself ↓

   
   
3. ファイアウォール機能を有効化します。これにはprotectコマンドを使います。
   

   awplus(config-firewall)# protect ↓

awplus# show firewall ↓ Firewall protection is enabled Active connections: 21

awplus# show firewall connections ↓ tcp ESTABLISHED src=192.168.1.2 dst=172.16.1.2 sport=58616 dport=23 packets=16 bytes=867 src=172.16.1.2 dst=172.16.1.1 sport=23 dport=58616 packets=11 bytes=636 [ASSURED] icmpv6 src=2001:db8::2 dst=2001:db8::1 type=128 code=0 id=1416 packets=34 bytes=3536 src=2001:db8::1 dst=2001:db8::2 type=129 code=0 id=1416 packets=34 bytes=3536 tcp TIME_WAIT src=2001:db8:1::2 dst=2001:db8:2::2 sport=42532 dport=80 packets=7 bytes=597 src=2001:db8:2::2 dst=2001:db8:1::2 sport=80 dport=42532 packets=5 bytes=651 [ASSURED] tcp TIME_WAIT src=2001:db8:1::2 dst=2001:db8:2::2 sport=48740 dport=80 packets=5 bytes=564 src=2001:db8:2::2 dst=2001:db8:1::2 sport=80 dport=48740 packets=5 bytes=594 [ASSURED]

awplus# clear firewall connections ↓

Note - 本コマンドを実行すると、ファイアウォール経由のTCP通信が切断されるため注意してください。UDPやICMPの通信は継続されます。

awplus# show firewall rule ↓ [* = Rule is not valid - see "show firewall rule config-check"] ID Action App From To Hits -------------------------------------------------------------------------------- 10 permit openvpn public private 0 20 deny samba-tcp private public 0 30 deny samba-udp private public 0 40 permit ssh branch private 0

awplus# show firewall rule config-check ↓ Rule 10: Application does not have a protocol configured

• ルール内で指定したアプリケーションの定義において、IPプロトコルが指定されていない。
  

awplus# show firewall rule config-check ↓ All rules are valid

(C) 2015 アライドテレシスホールディングス株式会社

PN: 613-002107 Rev.A