[index] CentreCOM AR410 V2 コマンドリファレンス 2.6

ファイアウォール/概要・基本設定

  - IPフィルターとの比較
  - 基本設定
   - インターフェースと基本ルール
    - ICMPパケットの扱い
    - 本体インターフェース宛ての通信
  - ルールの追加
   - トラフィックを制限する
   - アクセスを許可する
   - インターフェースNAT
    - スタティックNAT
    - ダイナミックNAT
    - ダイナミックENAT
    - スタティックENAT
   - ルールNAT
    - スタンダードNAT
    - エンハンストNAT
    - リバースNAT
    - ダブルNAT
    - ルールNATのまとめ
   - アクセスリストによるルール
   - RADIUSサーバーを利用したルール
   - ルールの時間制限
   - ルールの確認・修正・削除
   - ルールの処理順序
  - ファイアウォールの動作監視
   - ログ
   - イベント通知
   - トリガー
   - アカウンティング
   - デバッグオプション
   - セッションの確認
  - ダイナミックインターフェース
   - テンプレートの作成
   - テンプレートの使用
  - その他設定

本製品には、IPトラフィックフローの開始・終了を認識し、これに応じて動的なパケットフィルタリングを行うステートフルインスペクション型のファイアウォールが搭載されています。ここでは、ファイアウォールの基本的な設定方法について説明します。

なお、オプションのフィーチャーライセンスにより、アプリケーションゲートウェイ型ファイアウォールの機能（SMTPおよびHTTPプロキシー）も使用できます。こちらについては、「ファイアウォール」/「アプリケーションゲートウェイ」をご覧ください。

IPフィルターとの比較

IPパケットのフィルタリングは、IPモジュールの「IPフィルター」によっても提供されています。フィルタリングの機能自体はほぼ同等ですが、設定項目や設定方法に細かい差異がありますので、運用上のニーズに応じてご使用ください。

汎用設計のIPフィルターに対して、ファイアウォールはインターネット接続を念頭に置いた設計になっており、最小限の設定で高い安全性を確保できるようになっています。

詳細については後述しますが、

モジュールを有効化し、
ファイアウォールポリシーを作成し、
外側（インターネット側）と内側（LAN側）のインターフェースを指定する

の3つの手順だけで、LAN側からインターネットへの通信は自由に行え、インターネットからLAN側への通信はすべて拒否するという、ファイアウォールの基本ルールが有効になります。

IPフィルターがパケットごとにヘッダーを見て処理を行う単純なパケットフィルターであるのに対し、ファイアウォールはトラフィックフロー（一連のパケット）を常に意識しているため、LAN側からの要求に対する応答パケットを通すために、Syn/Ackなどによる細かい設定をする必要がありません。

たとえば、LAN側のクライアントがインターネット上のサーバーと通信を開始したとします。ファイアウォールは、通信開始を検知すると該当セッションをテーブルに登録します。セッションは、ローカル側IPアドレス、プロトコル、ポート、リモート側IPアドレス、ポートなどの情報からなります。テーブルに記録されている間、セッションに該当するパケットは方向に関係なく通過させます。通信が終了するなどして一定時間通信が行われなくなると、テーブルからセッションを削除し、それ以降は同じサーバーからであっても、外部からのパケットは一切通過させません。このような処理を行うファイアウォールを、単純なパケットフィルタリング型ファイアウォールと対比して、ステートフルインスペクション型あるいはダイナミックパケットフィルタリングファイアウォールと呼びます。

また、通信状態を保持しておくステートフルインスペクションは、NAT（Network Address Translation）と共通の部分が多いため、ファイアウォールにはNATの機能も統合されています。本製品には、IPモジュールのNAT機能（レンジNAT）もありますが、ファイアウォールを使う場合、レンジNATは使えません。ファイアウォール内蔵のNAT機能を使ってください。ファイアウォールのNAT機能には、インターフェース単位で設定するインターフェースNATと、ファイアウォールルールの一部として記述するルールNATがあります。詳細は本章の「インターフェースNAT」「ルールNAT」をご覧ください。

さらに、ファイアウォールには、拒否・許可したパケットのログを記録したり、重大なイベントの発生時に自動通知をする機能もあります。

なお、ファイアウォールとIPフィルターは併用できるため、基本的なセキュリティーの確保にはファイアウォールを使い、ファイアウォールで制御できない点（ICMPの方向制御など）をIPフィルターで補う設定も可能です。

基本設定

本製品をファイアウォールとして使用する上で最低限必要な手順は次のとおりです。ここでは次のような構成のネットワークを想定しています。IPの設定までは終わっているものと仮定します。

ファイアウォール機能を有効にします。
ファイアウォールポリシーを作成します。ポリシー名は自由に付けられます。
ファイアウォールポリシーの適用対象となるIPインターフェースを指定します。内側をPRIVATE、外側をPUBLICに設定します。

基本設定は以上です。

これにより、手順3で指定したインターフェース間のトラフィックに基本的なルールが適用され、外部（PUBLIC）から内部（PRIVATE）にはパケットが転送されなくなります。一方、内部から外部への通信は自由に行うことができます。ステートフルインスペクションにより、内部から通信を開始したときにはその状態が記憶されるため、戻りのパケットを通すために特別な設定をする必要はありません。

本製品では、上記の基本設定に独自のルールを追加することで、内部と外部のインターフェース間のやりとりを制御します。

■ 上記の基本設定だけでも十分実用的な運用が可能ですが、下記の設定を追加することにより、さらに快適に使用することができます。ここでは例だけを示します。詳細は他のセクションをご覧ください。

ICMPパケットがファイアウォールを通過できるようにします。基本ルールでは、ICMPパケットはどちらの方向にもまったく転送されません（内部からのPingも通らないので注意してください）。
Identプロキシー機能をオフにして、インターネット上のメールサーバーとの通信がすばやく行われるようにします。
拒否したパケットのログをとりたい場合は、次のコマンドを実行します。
端末型接続のようにグローバルアドレスが1つしかない場合は、ダイナミックENATを使います。

ここまでを基本設定と考えていただいてもかまいません。

インターフェースと基本ルール

ファイアウォールのインターフェースには次の3種類があります。

PRIVATE（内部）インターフェース：ファイアウォールで保護すべき内部ネットワーク側インターフェース。TYPE=PRIVATEでポリシーに追加されたインターフェースのこと
PUBLIC（外部）インターフェース：ファイアウォールの外側に位置するインターフェース。TYPE=PUBLICでポリシーに追加されたインターフェースのこと
その他のインターフェース：ファイアウォールの管理対象でないインターフェース

各インターフェースの配下にあるホスト間の通信可否は次のとおりです。ただしICMPは除きます。詳細は次節「ICMPパケットの扱い」をご覧ください。

表 1：インターフェース間の通信可否（ICMPを除く）

送信元→宛先 PRIVATE PUBLIC その他

PRIVATE ○ ○ ×

PUBLIC × ○ ○

その他 × ○ ○

PRIVATE側からPUBLIC側へは通信を開始できますが、PRIVATE以外のインターフェース（PUBLIC、その他）からPRIVATE側への通信はすべて遮断します。これが基本ルールです。

ファイアウォールの動作をさらに細かく制御したい場合は、ADD FIREWALL POLICY RULEコマンドでPRIVATEかPUBLICインターフェースに独自ルールを追加します。独自ルールには次の種類があります。

拒否ルール：基本ルールでは素通しされるトラフィックを遮断する。通常PRIVATEインターフェースに設定する。
許可ルール：基本ルールでは遮断されるトラフィックを通過させる。通常PUBLICインターフェースに設定する。
NATルール：ルールNATの変換ルールを定義する。

Note - 「その他」インターフェースに独自ルールを設定することはできません。

ICMPパケットの扱い

ファイアウォールは、前記の基本ルールと独自ルールにしたがってトラフィックを制御しますが、ICMPパケットだけはルールの例外扱いとなります。デフォルトの設定（ICMP転送オフ時）では、PRIVATE・PUBLIC間およびPRIVATE・その他間ではICMPはどちら向きにも転送されません。

表 2：ICMPの通信可否（転送オフ時）

送信元→宛先 PRIVATE PUBLIC その他

PRIVATE ○ × ×

PUBLIC × ○ ○

その他 × ○ ○

PRIVATE・PUBLIC間でICMPパケットの転送が行われるようにするには、ENABLE FIREWALL POLICYコマンドのICMP_FORWARDINGパラメーターに転送するICMPメッセージのタイプを指定します。ICMPメッセージをすべて通すならALLを指定します。転送をオンにしたときのICMPの通信可否は次のようになります。

表 3：ICMPの通信可否（転送オン時）

送信元→宛先 PRIVATE PUBLIC その他

PRIVATE ○ ○ ×

PUBLIC ○ ○ ○

その他 × ○ ○

Note - ICMPの転送をオンにしても、PRIVATE・その他間では転送されません（PRIVATE・その他間では、ICMPも含め、いっさい通信ができません）。

Note - ICMPは双方向とも通すか、まったく通さないかの設定しかできません。ファイアウォールの独自ルールでもICMPパケットの通過・拒否は制御できませんので、片側からのみ通すような設定をしたい場合はIPフィルターを併用してください。

本体インターフェース宛ての通信

また、各インターフェース配下から本製品のインターフェース宛ての通信（Telnetなど）可否は次のとおりです。

表 4：インターフェース配下から本体インターフェース宛ての通信可否

送信元→宛先I/F PRIVATE PUBLIC その他

PRIVATE ○ ○ ×

PUBLIC × × ×

その他 × ○ ○

Note - 「その他」インターフェース配下から本体に対してTelnetが可能な点にご注意ください。

ルールの追加

前記の基本設定に独自ルールを追加するには、ADD FIREWALL POLICY RULEコマンドを使います。以下、いくつか例を示します。

Note - ルールを追加するときは、RULEパラメーターで指定するルール番号が重ならないようにしてください。また、ルールのチェックは番号の小さい順に行われ、最初にマッチしたものが適用されるため、ルールの順序にも留意してください。

Note - ファイアウォールルールの設定ではコマンドラインが長くなりがちなので、適宜省略形を用いるようにしてください。以下の例でも省略形を使っています。

トラフィックを制限する

デフォルトでは内部から外部へのパケットをすべて通しますが（ICMPを除く）、予期せぬ発呼や情報の漏洩を防ぐため、不要なトラフィックを遮断することができます。

■ 次の例では、内部（vlan1）からのMS-Networksパケット（Windowsネットワークなどで使用されるパケット）を遮断しています。ファイアウォールの基本ルールにより、その他のパケットはこれまでどおり通過が許可されます。


ADD FIREWALL POLICY=mynet RULE=1 AC=DENY INT=vlan1 PROT=TCP PORT=135 ↓

ADD FIREWALL POLICY=mynet RULE=2 AC=DENY INT=vlan1 PROT=UDP PORT=135 ↓

ADD FIREWALL POLICY=mynet RULE=3 AC=DENY INT=vlan1 PROT=TCP PORT=137-139 ↓

ADD FIREWALL POLICY=mynet RULE=4 AC=DENY INT=vlan1 PROT=UDP PORT=137-139 ↓

ADD FIREWALL POLICY=mynet RULE=5 AC=DENY INT=vlan1 PROT=TCP PORT=445 ↓

5つのコマンドは、「vlan1インターフェースで受信したTCP、UDPパケットのうち、終点ポート番号が135、137～139のもの、および、TCPパケットのうち終点ポート番号が445番のものを破棄する」の意味になります。

■ 特定アドレスへのアクセスを禁止することもできます。この場合はREMOTEIPパラメーターで終点IPアドレスを指定します。IPアドレスは範囲で指定することも可能です。次の例では、内部から12.34.56.0～12.34.56.255の範囲へのアクセスを禁止しています。

ADD FIREWALL POLICY=mynet RULE=1 AC=DENY INT=vlan1 PROT=ALL REMOTEIP=12.34.56.0-12.34.56.255 ↓

このコマンドは、「vlan1インターフェースで受信したIPパケットのうち、終点IPアドレスが12.34.56.0～12.34.56.255のものを破棄する」の意味になります。

Note - デフォルトではICMPはファイアウォールを通過しません。ICMPの転送を有効にするには、ENABLE FIREWALL POLICYコマンドのICMP_FORWARDINGオプションを使う必要があります。

■ また、特定の内部ホストが外部にアクセスできないようにすることもできます。この場合はIPパラメーターで始点IPアドレスを指定します。IPアドレスは範囲で指定することも可能です。次の例では、内部ホスト192.168.10.3からのパケットを破棄するよう設定しています。

ADD FIREWALL POLICY=mynet RULE=1 AC=DENY INT=vlan1 PROT=ALL IP=192.168.10.3 ↓

このコマンドは、「vlan1インターフェースで受信したIPパケットのうち、始点IPアドレスが192.168.10.3のものを破棄する」の意味になります。

■ 内部からのトラフィックを制限するときのパラメーターの指定方法をまとめます

表 5

パラメーター 指定する内容

ACTION 内部から外部への転送を拒否するためDENYを指定します

INTERFACE 内部（PRIVATE）インターフェースを指定します

PROTOCOL 対象となるプロトコルを指定します。TCP、UDPを指定した場合はPORTの指定も必要です。ALLを指定した場合はICMPを除くすべてのIPパケットが対象となります。また、プロトコル番号による指定も可能です

REMOTEIP 終点IPアドレス。パケットの宛先となる外部ホストのIPアドレスです（範囲指定可）。省略時はすべての終点IPアドレスが対象となります

PORT 終点ポート番号。パケットの宛先となる外部ホストのポート番号です（範囲指定可）。PROTOCOLにTCPかUDPを指定した場合にのみ必要です

IP 始点IPアドレス。パケットの送信元となる内部ホストのIPアドレスです（範囲指定可）。省略時はすべての始点IPアドレスが対象となります

SOURCEPORT 始点ポート番号。パケットの送信元となる内部ホストのポート番号です（範囲指定可）。PROTOCOLにTCPかUDPを指定した場合のみ有効。省略時はすべての始点ポートが対象となります

アクセスを許可する

デフォルトでは外部からのパケットをすべて拒否しますが、内部のWebサーバーにだけはアクセスさせたいような場合に、特定のIPアドレス、または、IPアドレス・ポート宛てのパケットのみ通過を許可する設定ができます。ただし、外部からのパケットを許可することはファイアウォールに穴をあけることであり、セキュリティー低下のリスクが伴いますので設定には十分ご注意ください。

■ 次の例では、PRIVATE・PUBLIC間でNATを使用していないことを前提に、外部（ppp0）から内部ホスト4.4.4.2へのアクセスを許可しています。ファイアウォールの基本ルールにより、その他のホストに対するアクセスはこれまでどおり拒否されます。

ADD FIREWALL POLICY=mynet RULE=1 AC=ALLOW INT=ppp0 PROT=ALL IP=4.4.4.2 ↓

このコマンドは、「ppp0インターフェースで受信したIPパケットのうち、終点IPアドレスが4.4.4.2のものを通過させる」の意味になります。

Note - PROTOCOL=ALLはすべてのIPプロトコルの意味ですが、ICMPは含まれません。ICMPについては「PROTOCOL=ALL」を指定していたとしても、別途ICMPの転送を有効にしておかないとファイアウォールを通過できません。ICMPの転送を有効にするには、ENABLE FIREWALL POLICYコマンドのICMP_FORWARDINGオプションを使う必要があります。

■ 次の例では、外部（ppp0）から内部のWebサーバー（4.4.4.2のTCPポート80番）へのアクセスのみを許可しています。ファイアウォールの基本ルールにより、その他のアドレス・ポートへのアクセスはこれまでどおり拒否されます。

ADD FIREWALL POLICY=mynet RULE=1 AC=ALLOW INT=ppp0 PROT=TCP IP=4.4.4.2 PORT=80 ↓

このコマンドは、「ppp0インターフェースで受信したTCPパケットのうち、終点IPアドレスが4.4.4.2で、終点ポートが80のものを通過させる」の意味になります。

■ 特定ホストからのみアクセスを許可する設定も可能です。これにはREMOTEIPパラメーターを使用します。次の例では、外部のホスト12.34.56.78からのみ内部（PRIVATE側）へのアクセスを許可しています。ファイアウォールの基本ルールにより、その他のホストからのアクセスはこれまでどおり拒否されます。

ADD FIREWALL POLICY=mynet RULE=1 AC=ALLOW INT=ppp0 PROT=ALL REMOTEIP=12.34.56.78 ↓

このコマンドは、「ppp0インターフェースで受信したIPパケットのうち、始点IPアドレスが12.34.56.78のものを通過させる」の意味になります。

■ NATを使用しているインターフェースを通じてアクセスを受け入れる場合は、NATの変換前後の両方のアドレスを指定する必要があります。たとえば、192.168.1.2と4.4.4.2を一対一で変換するスタティックNATを設定している場合、外部（ppp0）から4.4.4.2（実際は192.168.1.2）へのアクセスを許可するには次のようにします。ファイアウォールの基本ルールにより、その他のホストに対するアクセスはこれまでどおり拒否されます。


ADD FIREWALL POLICY=mynet RULE=1 AC=ALLOW INT=ppp0 PROT=ALL GBLIP=4.4.4.2 IP=192.168.1.2 ↓

このコマンドは、「ppp0インターフェースで受信したIPパケットのうち、終点IPアドレスが4.4.4.2のものを、終点アドレスを192.168.1.2に書き換えた上で通過させる」の意味になります。

Note - この設定が機能するためには、あらかじめスタティックNATの設定が必要です。この例では、次のような設定になります。また、下記のスタティックNATの設定だけでは、グローバル側からのパケットがファイアウォールの基本ルールで遮断されるため、前述のような許可ルールも必須です。スタティックNATの設定詳細については、「スタティックNAT」をご覧ください。

ADD FIREWALL POLICY=mynet NAT=STANDARD INT=vlan1 IP=192.168.1.2 GBLINT=ppp0 GBLIP=4.4.4.2 ↓

■ スタティックNATを使用している場合、前例のようにすべてのIPパケットを通過させる設定だけでなく、特定のトラフィックだけを通過させる設定も可能です。たとえば、192.168.1.2と4.4.4.2を一対一で変換するスタティックNATを設定している場合、外部（ppp0）から4.4.4.2（実際は192.168.1.2）へのWebアクセス（終点ポートがTCP80番）だけを許可するには次のようにします。ファイアウォールの基本ルールにより、その他のホストに対するアクセスはこれまでどおり拒否されます。


ADD FIREWALL POLICY=mynet RULE=1 AC=ALLOW INT=ppp0 PROT=TCP GBLIP=4.4.4.2 GBLPORT=80 IP=192.168.1.2 PORT=80 ↓

このコマンドは、「ppp0インターフェースで受信したIPパケットのうち、終点IPアドレスが4.4.4.2で終点ポートが80番のTCPパケットを、終点アドレスを192.168.1.2に書き換えた上で通過させる」の意味になります。

■ NATを使用している場合に、外部からルーター自身に対するパケットを通過させたい場合は、GBLIPとIPに同じアドレスを指定します。たとえば、ルーター（4.4.4.1）宛てのISAKMPパケット（終点ポートがUDP 500番）を受け入れたい場合は次のようにします。これは、自動鍵交換によるIPsecとファイアウォールを併用する場合に必須の設定です。詳細は「IPsec」の章をご覧ください。


ADD FIREWALL POLICY=mynet RULE=1 AC=ALLOW INT=ppp0 PROT=UDP GBLIP=4.4.4.1 GBLPORT=500 IP=4.4.4.1 PORT=500 ↓

このコマンドは、「ppp0インターフェースで受信したIPパケットのうち、終点IPアドレスがルーター自身（4.4.4.1）で終点ポートが500番のUDPパケットを受け入れる」の意味になります。

■ 外部からのトラフィックを許可するときのパラメーターの指定方法をまとめます

表 6：NATを使っていない場合

パラメーター 指定する内容

ACTION 外部から内部への転送を許可するためALLOWを指定します

INTERFACE 外部（PUBLIC）インターフェースを指定します

PROTOCOL 対象となるプロトコルを指定します。TCP、UDPを指定した場合はPORTの指定も必要です。ALLを指定した場合はICMPを除くすべてのIPパケットが対象となります。また、プロトコル番号による指定も可能です

IP 終点IPアドレス。パケットの宛先となる内部ホストのIPアドレスです（範囲指定可）。省略時はすべての終点IPアドレスが対象となります

PORT 終点ポート番号。パケットの宛先となる内部ホストのポート番号です（範囲指定可）。PROTOCOLにTCPかUDPを指定した場合にのみ必要です

REMOTEIP 始点IPアドレス。パケットの送信元となる外部ホストのIPアドレスです（範囲指定可）。省略時はすべての始点IPアドレスが対象となります

SOURCEPORT 始点ポート番号。パケットの送信元となる外部ホストのポート番号です（範囲指定可）。PROTOCOLにTCPかUDPを指定した場合のみ有効。省略時はすべての始点ポートが対象となります

表 7：NATを使っている場合

パラメーター 指定する内容

ACTION 外部から内部への転送を許可するためALLOWを指定します

INTERFACE 外部（PUBLIC）インターフェースを指定します

PROTOCOL 対象となるプロトコルを指定します。TCP、UDPを指定した場合はGBLPORT、PORTの指定も必要です。ALLを指定した場合はICMPを除くすべてのIPパケットが対象となります。また、プロトコル番号による指定も可能です

IP 転送後の終点IPアドレス。パケットの最終的な宛先となるプライベートアドレスで、内部ホストに実際に割り当てられているアドレスを示します。GBLIPで指定したグローバルアドレス（外から見た終点IPアドレス）に対応するアドレスを指定してください

PORT 転送後の終点ポート番号。パケットの最終的な宛先となるポート番号で、内部ホストの実際のポート番号です。PROTOCOLにTCPかUDPを指定した場合にのみ必要です。GBLPORTで指定したグローバル側ポート番号（外から見た終点ポート）に対応するポート番号を指定してください

GBLIP 転送前の終点グローバルIPアドレス。外部から見た場合の終点IPアドレスです。NAT変換後のプライベートアドレス（最終的な宛先アドレス）はIPパラメーターで指定します

GBLPORT 転送前の終点グローバルポート番号。外部から見た場合の終点ポート番号です。NAT変換後のプライベートポート番号（最終的な宛先ポート）はPORTパラメーターで指定します

REMOTEIP 始点IPアドレス。パケットの送信元となる外部ホストのIPアドレスです（範囲指定可）。省略時はすべての始点IPアドレスが対象となります

SOURCEPORT 始点ポート番号。パケットの送信元となる外部ホストのポート番号です（範囲指定可）。PROTOCOLにTCPかUDPを指定した場合のみ有効。省略時はすべての始点ポートが対象となります

インターフェースNAT

本製品のファイアウォールには、インターフェース単位で設定するインターフェースNATと、アドレス単位で指定するルールNATの2種類のNAT機能が実装されています。

ルールNATでは、インターフェースNATよりも細かい制御が可能ですが、その分設定も複雑になります。よほど特殊な設定をしたいとき以外はインターフェースNATを使うようにしてください。また、両者は併用可能ですが、設定の見通しが悪くなりがちなので、通常はどちらか一方だけを使うようにしてください。

Note - インターフェースNATとルールNATの両方を設定した場合、ルールNATのほうが優先的に適用されます。設定の見通しをよくするためにも、通常はどちらか一方のみをご使用ください。

インターフェースNATの設定では、常に2つのインターフェース（INT、GBLINT）を指定する必要があります。パケットがこれら2つのインターフェース間で転送された場合に限ってアドレス変換が行われる、というのがインターフェースNATのポイントになります。

インターフェースNATは、アドレス変換のパターンによって次の4種類に分類できます。

スタティックNAT
ダイナミックNAT
ダイナミックENAT
スタティックENAT

以下、NATの種類ごとに例を挙げながら説明します。

スタティックNAT

スタティックNATは、プライベートアドレスをグローバルアドレスに1対1で固定的に変換するNATです。

アドレスが固定なので、プライベート側、グローバル側のどちらからでも通信を開始できます（ただし、グローバル側から通信を開始できるようにするには、明示的な許可ルールの設定が必要です）。プライベートアドレスで運用しているサーバーを、ファイアウォールの外からはグローバルアドレスを持っているかのように見せかけることができます。

■ スタティックNATの設定に使うパラメーターは次のとおりです。ここで「内IF」はPRIVATEインターフェース、「外IF」はPUBLICインターフェース、「内IP」はNAT前のプライベートアドレス、「外IP」はNAT後のグローバルアドレスを示します。


ADD FIREWALL POLICY=net NAT=STANDARD INT=内IF GBLINT=外IF IP=内IP GBLIP=外IP ↓

パケットを「内IF」から「外IF」に転送したとき、始点IPアドレスが「内IP」であれば「外IP」に書き換えます。
パケットを「外IF」で受信したとき、終点IPアドレスが「外IP」であれば「内IP」に書き換えます。

■ スタティックNATの設定をしていても、外側から内側への通信は基本ルールにより拒否されます。外側からの通信開始を可能にするには、「外IF」に次のような許可ルールを設定してください。


ADD FIREWALL POLICY=net RULE=1 AC=ALLOW INT=外IF PROTOCOL=プロトコル IP=内IP GBLIP=外IP ↓

あるいは、PUBLICインターフェースをポリシーに追加するときに「METHOD=PASSALL」を指定する方法もあります。この場合、許可ルールは不要です。

■ スタティックNATを使う場合、「外IF」がEthernetかVLANのときは「外IP」へのARPに対して本製品が代理応答する必要があります。そのためには、「外IP」を所有するマルチホームインターフェースを作成し、そのインターフェースを「外IF」に指定してください。また、「始点IPアドレス」＝「内IP」のパケットが「内IF」から「外IF」に転送されるよう、ポリシーフィルターを設定してください。詳細は次項以下の具体例をご覧ください。

■ スタティックNATの設定は、グローバル側インターフェースがPPPであるか、Ethernet/VLANであるかによって異なります。以下、それぞれのケースについてスタティックNATの設定方法をまとめます。

ここでは、次のようなネットワーク構成を仮定します。

ISPからグローバルアドレス8個（1.1.1.0/29 = 1.1.1.0～1.1.1.7）を取得している
プライベート側（vlan1）のネットワークアドレスは192.168.10.0/24
プライベート側のサーバー（192.168.10.5）をスタティックNATにより1.1.1.5として外部に公開する。

グローバル側がPPPの場合、ADD FIREWALL POLICY NATコマンドでスタティックNATルールの設定を行い、ADD FIREWALL POLICY RULEコマンドでサーバーへのパケットを通過させるルールを追加します。

192.168.10.5→1.1.1.5のスタティックNATルールを設定します。スタティックNAT変換は、INT（vlan1）で受信したIPパケットがGBLINT（ppp0）側にルーティングされたときに行われます。
1.1.1.5（192.168.10.5）宛てのパケットを通過させるルールを追加します。
なお、1.1.1.5の特定ポートだけに通信を限定させたい場合は、PROTOCOLパラメーターでプロトコルを指定し、GBLPORTパラメーターでグローバル側ポート番号を、PORTパラメーターでプライベート側ポート番号を指定します。次の例ではHTTPだけを許可しています。
Note - これらのルールを設定しないと、ファイアウォールの基本ルールにより、1.1.1.5宛てのパケットがppp0インターフェースで破棄されてしまいます。

グローバル側がEthernetかVLANの場合は、PPPのときよりも手順が3つ増えます。ここでは、WAN側（eth0-0）にグローバルアドレス1.1.1.1/29を、LAN側（vlan1）にプライベートアドレス192.168.10.1/24を割り当ててあるものとします。また、デフォルトゲートウェイアドレスは1.1.1.6であるとします。

最初に、WAN側インターフェースをマルチホーミングし、NAT用グローバルアドレスを32ビットマスクで設定します。これは、WAN側セグメントにおいて、サーバーのグローバルアドレス（1.1.1.5）へのARP要求に応答するために必要な設定です。ここでは、eth0-0にルーター本来のアドレス（1.1.1.1/29）を割り当て、eth0-1にスタティックNAT用のグローバルアドレス（1.1.1.5/32）を割り当てています
NAT用インターフェースをファイアウォールポリシーに追加します。TYPEには通常PUBLICを指定します。
192.168.10.5→1.1.1.5のスタティックNATルールを設定します。この場合、スタティックNAT変換は、INT（vlan1）で受信したパケットがGBLINT（eth0-1）側にルーティングされたときに行われます。このことが手順5以降に関係してきます。
1.1.1.5（192.168.10.5）宛てのパケットを通過させるルールを追加します。
なお、1.1.1.5の特定ポートだけに通信を限定させたい場合は、PROTOCOLパラメーターでプロトコルを指定し、GBLPORTパラメーターでグローバル側ポート番号を、PORTパラメーターでプライベート側ポート番号を指定します。次の例ではHTTPだけを許可しています。
Note - これらのルールを設定しないと、ファイアウォールの基本ルールにより、1.1.1.5宛てのパケットがeth0-1インターフェースで破棄されてしまいます。
LAN側のNAT対象ホスト（192.168.10.5）からのパケットが、スタティックNATインターフェース（eth0-1）にルーティングされるよう、ポリシーフィルター「100」を設定します。ポリシーフィルターのフィルター番号は100～199です。
ポリシーフィルター「100」をLAN側インターフェースに適用します。
ポリシーフィルターによって設定された経路選択ポリシーに基づいてルーティングが行われるよう、デフォルトルートの経路エントリーを追加します。
- 経路選択ポリシー「1」を持つパケット（192.168.10.5からのパケット）のデフォルトルートをeth0-1に向けます。これにより、サーバー（192.168.10.5）からのパケットはeth0-1に転送され、同インターフェースをGBLINTとするスタティックNATルールが適用されます。
Note - ポリシーフィルターの設定を行わないと、サーバー側から通信を開始したときにパケットがeth0-1に転送されず、手順3のスタティックNATルールが適用されない可能性があります。たとえば、eth0-0にクライアント用のダイナミックENAT設定が施されている場合、サーバーからのパケットがeth0-0に転送されると、サーバーからのパケットもダイナミックENAT用アドレスに変換されてしまいます。これは、インターフェースNATのアドレス変換が、INTからGBLINTにパケットが転送されたときに行われるためです。なお、WAN側からサーバーに対して通信を開始した場合は、スタティックNATルールのとおりに変換されます。また、サーバー側からの通信にスタティックNATが適用されなくても問題ないときは、ポリシーフィルターの設定は不要です。

設定は以上です。

ダイナミックNAT

ダイナミックNATは、プライベート側インターフェースで受信したパケットの始点アドレスを、あらかじめプールされたグローバルアドレス内の使用されていないアドレスに動的変換する多対多のNATです。グローバルアドレスが固定でないため、グローバル側から通信を開始することはできません。

Note - ダイナミックNATは、他のNATに比べてメリットが少ないためあまり使われません。

■ ダイナミックNATの設定に使うパラメーターは次のとおりです。ここで、「内IF」はPRIVATEインターフェース、「外IF」はPUBLICインターフェース、「外IP範囲」はNAT後のグローバルアドレスとして使うアドレス範囲を示します。


ADD FIREWALL POLICY=net NAT=STANDARD INT=内IF GBLINT=外IF GBLIP=外IP範囲

パケットを「内IF」から「外IF」に転送したとき、始点IPアドレスを「外IP範囲」内の空いているアドレスに書き換えます。また、変換前後のアドレスの組み合わせ（内IP・外IP）をテーブルに登録します。
パケットを「外IF」で受信したとき、終点IPアドレスが「外IP範囲」内であれば、テーブルを検索し、終点IPアドレスを「内IP」に書き換えます。

■ ダイナミックNATを使う場合、「外IF」がEthernetかVLANのときは「外IP範囲」へのARPに対して本製品が代理応答する必要があります。そのためには、「外IP範囲」へのスタティック経路を優先度0で登録してください。

たとえば、グローバルアドレスとして1.1.1.2～1.1.1.4を使うダイナミックNATを設定する場合、次のような経路を登録してください（PRIVATE側インターフェースをvlan1とします）。「PREF=0」を忘れないようご注意ください。


ADD FIREWALL POLICY=net NAT=STANDARD INT=vlan1 GBLINT=eth0 GBLIP=1.1.1.2-1.1.1.4 ↓

ADD IP ROUTE=1.1.1.2 MASK=255.255.255.255 INT=vlan1 NEXT=0.0.0.0 PREF=0 ↓

ADD IP ROUTE=1.1.1.3 MASK=255.255.255.255 INT=vlan1 NEXT=0.0.0.0 PREF=0 ↓

ADD IP ROUTE=1.1.1.4 MASK=255.255.255.255 INT=vlan1 NEXT=0.0.0.0 PREF=0 ↓

Note - この方法（「外IP」へのスタティック経路を登録する方法）は、グローバル側からの通信開始を前提とするスタティックNATのときには使えません。スタティックNATのときは、前節のとおりマルチホーミングとポリシーフィルターを併用してください。

ダイナミックENAT

ダイナミックENAT（Network Address Translation）は、ルーターなどの中継ノードでIPパケットのアドレスとポート番号を付け替えることにより、プライベートIPアドレスしか持たないホストがグローバルネットワークにアクセスできるようにする機能です。グローバルアドレスを1個しか割り当てられてない場合でも、ENATを利用することにより多くのホストがグローバルネットワークにアクセスできるようになります。ダイナミックENATではグローバル側から通信を開始することはできませんが、次節の「スタティックENAT」を併用すればグローバル側からの通信も可能です。

■ ダイナミックENATの設定に使うパラメーターは次のとおりです。ここで、「内IF」はPRIVATEインターフェース、「外IF」はPUBLICインターフェース、「外IP」はNAT後のグローバルアドレスを示します。


ADD FIREWALL POLICY=net NAT=ENHANCED INT=内IF GBLINT=外IF [GBLIP=外IP]

パケットを「内IF」から「外IF」に転送したとき、始点IPアドレスを「外IF」のアドレス（GBLIPが指定されているときは「外IP」）に、始点ポートを未使用のポート番号に書き換えます。また、変換前後のアドレス・ポートの組み合わせ（内IP・内ポート・外IP・外ポート）をテーブルに登録します。
パケットを「外IF」で受信したとき、終点IPアドレスが「外IF」のアドレス（GBLIPが指定されているときは「外IP」）であれば、終点ポートをキーにテーブルを検索し、終点IPアドレスを「内IP」に、終点ポートを「内ポート」に書き換えます。

■ 次の例では、内部インターフェース側の全ホストが、外部インターフェースに割り当てられた1個のグローバルIPアドレスを共有して外部と通信します（各トラフィックはポート番号によって識別されます）。内部側の複数ホストが同時に外部と通信できます。INTERFACE（INTと省略）パラメーターにプライベート側インターフェース名を、GBLINTERFACE（GBLINTと省略）パラメーターにグローバル側インターフェース名を指定してください。

ADD FIREWALL POLICY=mynet NAT=ENHANCED INT=vlan1 GBLINT=ppp0 ↓

このコマンドは、「vlan1のインターフェースで受信したIPパケットがppp0側にルーティングされる場合、始点アドレスをppp0のインターフェースに割り当てられているグローバルIPアドレスに書き換えて送信する」の意味になります。また、外部からの戻りパケットは、終点アドレスに逆向きのアドレス変換（グローバル→プライベート）を施した上で内部の送信元に送り返されます。

■ 複数グローバルIPを割り当てられる専用線接続などのように、GBLINTで指定したインターフェースがUnnumberedの場合は、GBLIPパラメーターでダイナミックENAT用のIPアドレスを明示する必要があります。ISPから割り当てられたグローバルアドレスのうちの1個を指定してください。なお、Unnumbered、Numberedにかかわらず、GBLINTにはNAT変換時にパケットを送り出すインターフェースを指定してください。

ADD FIREWALL POLICY=mynet NAT=ENHANCED INT=vlan1-1 GBLINT=ppp0 GBLIP=1.2.3.6 ↓

このコマンドは、「vlan1-1のインターフェースで受信したIPパケットがppp0側にルーティングされる場合、始点アドレスをISPから割り当てられているグローバルIPアドレス1.2.3.6に書き換えて送信する」の意味になります。また、外部からの戻りパケットは、終点アドレスに逆向きのアドレス変換（グローバル→プライベート）を施した上で内部の送信元に送り返されます。

スタティックENAT

端末型接続のように1個しかグローバルアドレスがない場合であっても、スタティックENAT（ポート/プロトコル転送）機能を用いることにより、グローバル側インターフェースの特定ポート宛てに送られたパケットを、内部ホストの特定ポートに転送することができます。この機能を利用すると、グローバルアドレスが1つしかない環境でも、複数のサーバー（サービス）を外部に公開することができます。

■ スタティックENATは単独では使用できません。必ず最初にダイナミックENATの設定をする必要があります。前節の説明の繰り返しになりますが、再度ダイナミックENATの設定に必要なパラメーターを挙げます。


ADD FIREWALL POLICY=net NAT=ENHANCED INT=内IF GBLINT=外IF ↓

■ スタティックENATの設定に使うパラメーターは次のとおりです。ここで、「外IF」はPUBLICインターフェース、「プロトコル」はTCP、UDPなどの上位プロトコル、「外IP」はグローバルアドレス、「外ポート」は転送前のポート番号、「内IP」はプライベートアドレス、「内ポート」は転送先のポート番号を示します。


ADD FIREWALL POLICY=net RULE=1 AC=ALLOW INT=外IF PROT=プロトコル GBLIP=外IP GBLPORT=外ポート IP=内IP PORT=内ポート ↓

パケットを「外IF」で受信したとき、プロトコルが「プロトコル」で、終点IPアドレスが「外IP」、終点ポートが「外ポート」であれば、それぞれ「内IP」「内ポート」に書き換えます。

Note - スタティックENATの設定はADD FIREWALL POLICY RULEコマンドで行います。

Note - スタティックENAT単独では使用できません。必ずダイナミックENATと組み合わせて設定してください。

■ 次の例では、ルーターの（PPPインターフェースの）80番ポートに宛てられたTCPパケットを、LAN側のWebサーバー（192.168.10.2の80番ポート）に転送しています。また、ルーターの25番ポートに宛てられたTCPパケットを、LAN側のメールサーバー（192.168.10.3の25番ポート）に転送しています。この構成では、インターネット上のホストからは、ルーター自身がWebサーバーやメールサーバーであるかのように見えますが、実際にはプライベートIPアドレスを持つ内部のサーバーが応答します。

以下、コマンドラインが長くなるため適宜省略形を使っています。

スタティックENATは、ダイナミックENATを使用していることが前提となります。ここでは、LAN（vlan1）側の全ホストが、WAN（ppp0）側に割り当てられたグローバルアドレスを使って外部と通信できるように設定します。
ルーターの80番ポートに届いたパケットを、LAN側のWebサーバー（192.168.10.2）に転送するためのルールを設定します。
このコマンドは、「ppp0インターフェースで受信したTCPパケットのうち、終点IPアドレスが1.2.3.4で終点ポートが80のものを、アドレス変換してホスト192.168.10.2の80番ポートに転送する」の意味になります。また、内部サーバーからの戻りパケットは、逆向きのアドレス変換（プライベート→グローバル）を施した上で送信元に送り返されます。

Note - グローバルIPアドレスが動的に割り当てられる場合は、GBLIPに0.0.0.0を指定します。
ルーターの25番ポートに届いたパケットを、LAN側のメールサーバー（192.168.10.3）に転送するためのルールを設定します。
このコマンドは、「ppp0インターフェースで受信したTCPパケットのうち、終点IPアドレスが1.2.3.4で終点ポートが25のものを、アドレス変換してホスト192.168.10.3の25番ポートに転送する」の意味になります。

■ 同じWell-knownポートを使うサーバーを複数公開したい場合、外部からのアクセスはいくらか変則的になりますが、GBLPORTをサーバーごとに変えることで可能となります。ここでは、内部に192.168.10.5、192.168.10.10の2つのWebサーバーがあるものとします。次の例では、外部から1.2.3.4のTCPポート80番へのアクセスは192.168.10.5に、同じくポート8080番へのアクセスは192.168.10.10のWebサービスに転送します。


ADD FIRE POLI=mynet RU=1 AC=ALLOW INT=ppp0 PROT=TCP GBLIP=1.2.3.4 GBLPO=80 IP=192.168.10.5 PORT=80 ↓

ADD FIRE POLI=mynet RU=2 AC=ALLOW INT=ppp0 PROT=TCP GBLIP=1.2.3.4 GBLPO=8080 IP=192.168.10.10 PORT=80 ↓

この場合、外部から192.168.10.10のWebサーバーにアクセスするには、URLの中でポート番号8080を指定する必要があります。ブラウザーのURL欄に次のように入力します。

http://1.2.3.4:8080/ ... （実際は192.168.10.10のWebサーバーにアクセスすることになる）

192.168.10.5のWebサーバーは標準のWebサービスポートである80番を使っているので、URLでポート番号を指定する必要はありません。

http://1.2.3.4/ ... （実際は192.168.10.5のWebサーバーにアクセスすることになる）

■ 少し特殊なケースですが、TCP/UDPポート番号ではなく、IPヘッダーのプロトコル番号をもとに内部への転送を行うこともできます。次の例では、PRIVATE側にあるIPv6ルーター（192.168.10.2）が、IPv4インターネット上のIPv6トンネルサーバー（12.34.56.78）との間にトンネルを張り、LANをIPv6ネットワークにトンネル接続しています。

インターネット上にトンネルを張るには、トンネルの両エンドに互いに到達可能なグローバルアドレスが必要ですが、この環境ではLAN側のIPv6ルーターにグローバルアドレスがありません。そこで、スタティックENATのプロトコル転送機能を利用して、本製品のWAN側インターフェース（1.2.3.4）宛てに届いたIPv6 over IPv4トンネリングパケット（IPプロトコル41）を、LAN側のIPv6ルーターに転送する設定を行います。これにより、トンネルサーバーからは本製品のPPPインターフェースが、LAN側に存在するIPv6ルーターのインターフェースに見えます。

ADD FIRE POLI=mynet RU=1 AC=ALLOW INT=ppp0 PROTO=41 REMOTEIP=12.34.56.78 GBLIP=1.2.3.4 IP=192.168.10.2 ↓

このコマンドは、「ppp0インターフェースで受信したプロトコル番号41（IPv6）のIPパケットのうち、始点IPアドレスが12.34.56.78で終点IPアドレスが1.2.3.4のものを、アドレス変換してLAN側の192.168.10.2に転送する」の意味になります。また、内部からの戻りパケットは、逆向きのアドレス変換（プライベート→グローバル）を施した上で送信元に送り返されます。

■ スタティックENATの設定におけるパラメーターの指定方法をまとめます（ダイナミックENATの併用が必須です）

表 8

パラメーター 指定する内容

ACTION 外部から内部への転送を許可するので常にALLOWとなります

INTERFACE 外部（PUBLIC）インターフェースを指定します

PROTOCOL 転送するプロトコルを指定します。通常はTCPかUDPです。その場合、GBLPORTとPORTの指定も必要です。また、プロトコル番号による指定も可能です。ただし、スタティックENATでは外部から内部にICMPを転送することはできません

GBLIP 転送前の終点IPアドレス。外部インターフェースに割り当てられたグローバルIPアドレスを指定します。IPCP（PPP）やDHCPなどで動的にアドレスを取得している場合は0.0.0.0を指定します

GBLPORT 転送前の終点ポート番号。PROTOCOLにTCPかUDPを指定した場合にのみ必要です

IP 転送後の終点IPアドレス。転送先ホストのプライベートIPアドレスです

PORT 転送後の終点ポート番号。転送先のポート番号です。PROTOCOLにTCPかUDPを指定した場合にのみ必要です

REMOTEIP 始点IPアドレス。外部の送信者のIPアドレスです（範囲指定可）。省略時はすべての始点IPアドレスが対象になります

SOURCEPORT 始点ポート番号。外部の送信者のポート番号です（範囲指定可）。PROTOCOLにTCPかUDPを指定した場合のみ有効。省略時はすべての始点ポートが対象となります

ルールNAT

ルールNATは、アドレスベースのNAT機能です。ADD FIREWALL POLICY RULEコマンドのACTIONにNATを指定することによって設定を行います。

ルールNATでは、インターフェースNATより細かい制御が可能ですが、その分設定も複雑になります。通常は従来からあるインターフェースNATをご使用ください。ルールNATは、インターフェースNATで対応できない特殊な設定を行いたい場合にのみ使用してください。

Note - ルールNATは、ADD FIREWALL POLICY NATコマンドで設定するインターフェースNATよりも優先的に適用されます。

ルールNATには、次のようなアドレス変換パターンがあります。また、下記の各パターンと組み合わせて、IPアドレスのサブネット部だけを変換する「サブネットNAT」も可能です。

スタンダードNAT：PRIVATE → PUBLICの始点アドレス、PUBLIC → PRIVATE の終点アドレスを一対一で変換する。
エンハンストNAT：複数の始点IPアドレスを1個の共用アドレス＋個別のポート番号に変換する。
リバースNAT：PUBLIC → PRIVATEのパケットの始点アドレスを変換する。また、PRIVATE → PUBLICのパケットの終点アドレスを変換する。
ダブルNAT：始点、終点の両方を変換する。

ルールNATは原則として一方向にのみ作用します。すなわち、PUBLICインターフェースに設定したNATルールは、PUBLIC → PRIVATEのパケットとその戻りパケットにのみ作用します。また、PRIVATEインターフェースに設定したNATルールは、PRIVATE → PUBLICのパケットとその戻りパケットにのみ作用します。

Note - ルールのアクションにNAT、NONATを指定することは、ALLOW同様パケットを許可することになるので注意してください。

以下、各タイプのNAT設定について例を挙げながら解説します。

スタンダードNAT

スタンダードNAT（NATTYPE=STANDARD）は、IPアドレスを一対一で静的に変換します。インターフェースNATにおける「スタティックNAT」「スタティックENAT」に相当します。

PRIVATE側のホストがPUBLIC側にあるように見せかけたい場合、PUBLICインターフェースに次のようなスタンダードNATルールを適用します。

PROTOCOLはALL
アドレス変換は GBLIP（グローバル） → IP（プライベート）

■ PRIVATE側のホスト192.168.10.100を、PUBLIC側では1.1.1.100のように見せかけたい場合は、PUBLIC側インターフェースに次のようなスタンダードNATルールを適用します。

ADD FIREWALL POLICY=net RULE=1 AC=NAT NATTYPE=STANDARD INT=ppp0 PROT=ALL GBLIP=1.1.1.100 IP=192.168.10.100 ↓

■ 同じ構成で、ホスト192.168.10.100のTelnetサービスだけを外部に公開するには次のようにします。

ADD FIREWALL POLICY=net RULE=1 AC=NAT NATTYPE=STANDARD INT=ppp0 PROT=TCP GBLIP=1.1.1.100 GBLPO=23 IP=192.168.10.100 PO=23 ↓

■ PUBLIC側インターフェースがEthernetの場合は、ルーターが1.1.1.100に対するARP要求に代理応答する必要があります（1.1.1.100がルーター自身のアドレスでない場合）。それには、ADD IP ROUTEコマンドを使って次のような経路エントリーを登録します。

ADD IP ROUTE=1.1.1.100 MASK=255.255.255.255 INT=vlan1 NEXT=0.0.0.0 PREF=0 ↓

ルールNATは原則一方向です。したがって、ルールをどのインターフェースに適用するかによって設定や動作が異なります。

PUBLICインターフェースにルールを適用した場合は、外→内のパケットの終点アドレスがGBLIPと一致する場合に、終点アドレスがIPに書き換えられます。
PRIVATEインターフェースにルールを適用した場合は、内→外のパケットの始点アドレスがIPと一致する場合に、始点アドレスがGBLIPに書き換えられます。

上記の設定例は、PUBLIC側から通信が開始されることを前提とし、外→内のパケットとその戻りについてのみ上記ルールを適用します。PRIVATE側のホストが単独で通信を開始した場合は上記ルールは適用されません。

■ 完全に双方向の変換を行いときは、PRIVATEインターフェースにもNATルールを追加してください。

ADD FIREWALL POLICY=net RULE=2 AC=NAT NATTYPE=STANDARD INT=vlan1 PROT=ALL IP=192.168.10.100 GBLIP=1.1.1.100 ↓

■ サブネット単位でスタンダードNATの変換を行うには、NATMASKパラメーターでネットマスクを指定します。「サブネット単位でNATを行う」とは、IPアドレスのサブネット部だけを変換し、ホスト部はそのままにすることを示します。

192.168.10.17～192.168.10.30（192.168.10.16/28）と1.1.1.17～1.1.1.30（1.1.1.16/28）を一対一で変換するには、次のようにします。

ADD FIREWALL POLICY=net RULE=1 AC=NAT NATTYPE=STANDARD INT=vlan1 PROT=ALL IP=192.168.10.16 GBLIP=1.1.1.16 NATMASK=255.255.255.240 ↓

エンハンストNAT

エンハンストNAT（NATTYPE=ENHANCED）は、指定したインターフェースで受信したパケットの始点IPアドレスを別の1個のIPアドレスに変換するNATです。送信元の識別は、変換後に異なる始点ポート番号を使うことによって実現します。

■ vlan1で受信したパケットの始点アドレスを1.1.1.10に書き換えるには次のようにします。始点ポート番号はセッションごとに自動的に割り当てられます。

ADD FIREWALL POLICY=net RULE=1 AC=NAT NATTYPE=ENHANCED INT=vlan1 PROT=ALL GBLIP=1.1.1.10 ↓

■ ppp0で受信したパケット（外→内）の始点アドレスを192.168.10.200に書き換えます。

ADD FIREWALL POLICY=net RULE=1 AC=NAT NATTYPE=ENHANCED INT=ppp0 PROT=ALL REMOTEIP=192.168.10.200 ↓

リバースNAT

リバースNAT（NATTYPE=REVERSE）は終点アドレスを書き換えます。一般的に認知されているNATではなく、パケットを特定のホストにリダイレクトする機能です。

■ vlan1で受信したパケットの終点が1.1.1.126の場合、これを1.1.1.10に強制的に書き換えます。

ADD FIREWALL POLICY=net RULE=1 AC=NAT NATTYPE=REVERSE INT=vlan1 REMOTEIP=1.1.1.126 GBLREMOTEIP=1.1.1.10 PROT=ALL ↓

ダブルNAT

ダブルNAT（NATTYPE=DOUBLE）は始点・終点の両方を書き換えます。

■ 始点192.168.10.100を1.1.1.100に書き換え、終点を1.1.1.10に書き換えます。

ADD FIRE POLI=net RU=1 AC=NAT NATT=DOUBLE INT=vlan1 IP=192.168.10.100 GBLIP=1.1.1.100 PROT=ALL GBLREM=1.1.1.10 ↓

ルールNATのまとめ

ルールNATの変換パターンについてまとめます。

次表の「プライベート側」「グローバル側」欄に書かれているのは、IPパケットの始点・終点アドレスです。「A → B」と書いた場合、「A」が始点、「B」が終点アドレスを示します。また、「IP」「GBLIP」「REMOTEIP」「GBLREMOTEIP」は、ADD FIREWALL POLICY RULEコマンドのパラメーターです。スクエアブラケット（[ ]）で囲まれているパラメーターは省略が可能なことを示しています。

たとえば、PRIVATEインターフェースに適用したスタンダードNATルールでは、同インターフェースで受信したパケットの始点アドレスが「IP」で終点アドレスが「REMOTEIP」なら、始点アドレスを「GBLIP」に書き換えます。

表 9

NAT種別 向き（I/F種別） プライベート側 グローバル側 備考

スタンダード内 → 外（PRIVATE） IP → [REMOTEIP] GBLIP → [REMOTEIP] 始点アドレスをIPからGBLIPに変換

内 ← 外（PUBLIC） IP ← [REMOTEIP] GBLIP ← [REMOTEIP] 終点アドレスをGBLIPからIPに変換

エンハンスト内 → 外（PRIVATE） [IP] → [REMOTEIP] GBLIP → [REMOTEIP] 始点アドレスをIPからGBLIPに変換（ポートも変換）

内 ← 外（PUBLIC） [IP] ← REMOTEIP [IP] ← [GBLREMOTEIP] 始点アドレスをGBLREMOTEIPからREMOTEIPに変換（ポートも変換）

リバース内 → 外（PRIVATE） [IP] → [REMOTEIP] [IP] → GBLREMOTEIP 終点アドレスをREMOTEIPからGBLREMOTEIPに変換

内 ← 外（PUBLIC） [IP] ← REMOTEIP [IP] ← [GBLREMOTEIP] 始点アドレスをGBLREMOTEIPからREMOTEIPに変換

ダブル内 → 外（PRIVATE） IP → REMOTEIP GBLIP → GBLREMOTEIP 始点アドレスをIPからGBLIPに、終点アドレスをREMOTEIPからGBLREMOTEIPに変換

内 ← 外（PUBLIC） IP ← REMOTEIP GBLIP ← GBLREMOTEIP 始点アドレスをGBLREMOTEIPからREMOTEIPに、終点アドレスをGBLIPからIPに変換

アクセスリストによるルール

ADD FIREWALL POLICY RULEコマンドでルールを追加するとき、ファイルに記述した一連のアドレスに対してルールを設定することもできます。この機能（アクセスリスト）は、対象アドレスが多い場合に便利です。ここでは例として、内部ネットワークからアクセスリストに記載したアドレスへのアクセスを禁止するルールを設定します。

最初に、アクセスさせたくないアドレスの一覧を作成します。EDITコマンド等を用いて次のようなテキストファイルを作成してください。ここではファイル名を「denylist.txt」とします。
リストファイルには、一行に一個アドレスを書きます。アドレスには次の2 つの形式があります。
- 単一アドレス（例：10.20.30.40）
- アドレス範囲（例：123.45.67.0 - 123.45.67.255。2つのIPアドレスをハイフンで区切ったもの（ハイフンの前後にスペースが必要なので注意してください）
また例のように、アドレスの後に簡単な説明を入れることもできます。説明文字列はSHOW FIREWALL POLICYコマンドでアクセスリストの内容を見るときに表示されます。#（シャープ）以降はコメントです。
次にアクセスリストをポリシーに登録します。これ以降、アクセスリストを参照するときはファイル名でなくLISTパラメーターで指定した名前（ここでは「denyto」）を使います。
最後にアクセスリストを用いて拒否ルールを追加します。この例では、LAN側（vlan1）からアクセスリスト「denyto」に記載されているアドレスへのIP通信をすべて拒否しています。
アクセスリスト内のIPアドレスは通信の向きによって次のように解釈されます。
- 外向き通信（PRIVATE→PUBLIC）の場合：終点アドレス。リスト中のアドレスへのアクセスを禁止または許可する。
- 内向き通信（PUBLIC→PRIVATE）の場合：始点アドレス。リスト中のアドレスからのアクセスを禁止または許可する。

よって、手順3のコマンドは、意味的には次のコマンドと同じになります。


ADD FIREWALL POLICY=mynet RULE=1 ACTION=DENY INT=vlan1 PROTO=ALL REMOTEIP=10.20.30.40 ↓

ADD FIREWALL POLICY=mynet RULE=2 ACTION=DENY INT=vlan1 PROTO=ALL REMOTEIP=22.33.44.55 ↓

ADD FIREWALL POLICY=mynet RULE=3 ACTION=DENY INT=vlan1 PROTO=ALL REMOTEIP=123.45.67.0-123.45.67.255 ↓

また、アクセスリストにはMACアドレスを列挙することもできます。この場合、ADD FIREWALL POLICY LISTコマンドのTYPEパラメーターにはADDRESSと指定してください。リスト中のMACアドレスは送信元MACアドレスとして扱われます。

RADIUSサーバーを利用したルール

RADIUS認証サーバーを利用してファイアウォールのアクセス制御を行うこともできます。これは、RADIUSサーバー側で個々のIPアドレスごとに通信の許可・拒否を登録しておくもので、「望ましくない」Webサイトのリストを中央で管理するような場合に便利です。

最初にRADIUSサーバー側の設定を行います。以下は架空のRADIUSサーバーの設定例です。実際の設定方法については、ご使用のRADIUSサーバーのマニュアルをご覧ください。

RADIUSサーバーのクライアントリストに本製品を追加します。また、サーバー・クライアント間の通信で使用する共有パスワードも設定します。

ここでは、本製品のIPアドレスを192.168.10.1、共有パスワードをhimitsuとします。
次にRADIUSサーバーのユーザーデータベースにアクセス制御対象のアドレスと許可・拒否の設定を登録します。

RADIUSを使用するよう設定した場合、本製品は受信したパケットごとに次のような認証リクエスト（Access-Requestパケット）をRADIUSサーバーに送ります。
すなわち、ユーザー名としてIPアドレスを角かっこ（[]）で囲んだものを、パスワードとして「allowdeny」を送り、認証を要求します。

ipaddには、外向き通信（PRIVATE→PUBLIC）の場合は終点アドレスが、内向き通信（PUBLIC→PRIVATE）の場合は始点アドレスが入ります。

RADIUSサーバーの設定ファイルを編集して、アクセス制御対象のIPアドレスごとに次のような内容のユーザーエントリーを作成してください。実際の設定ファイルの記述方法については、RADIUSサーバーのドキュメントを参照してください。

表 10

属性名 属性値

User-Name [ipadd]

User-Password allowdeny

Framed-IP-Address 拒否なら0.0.0.0、許可ならipadd

ここでは、例として次のようなエントリーを登録したものとします。Framed-IP-Addressが0.0.0.0なので、どちらも拒否エントリーです。
エントリーの追加が完了したら、RADIUS サーバーを再起動してください。
次に、本製品がRADIUSサーバーを使うように設定します。ここでは、RADIUSサーバーのIPアドレスを192.168.10.5とします。
次に、ファイアウォールルールを作成して、RADIUSサーバーを使うよう設定します。

この例では、LAN側（vlan1）から外部へ送られるHTTPのトラフィックについて、終点アドレスをユーザー名としてRADIUSサーバーに通信の可否を問い合わせます。ACTIONにDENYを指定した場合はデフォルト許可のルールとなり、RADIUSデータベースにFramed-IP-Address「0.0.0.0」として登録されているアドレスだけが拒否されます。一方、ACTIONにALLOWを指定した場合はデフォルト拒否のルールとなり、Framed-IP-Addressが自分自身のアドレスと一致するものだけが許可されます。
Note - ALLOWが「デフォルト拒否」で、DENYが「デフォルト許可」というのは逆のようにも思えますが、ALLOWは「RADIUSサーバー上で許可するよう登録されているものだけ」を許可、DENYは「RADIUSサーバー上で拒否するよう登録されているものだけ」を拒否、という意味合いになります。

■ RADIUSサーバーからの応答は次のように解釈されます。
- ACTIONがALLOW（デフォルト拒否）なら、RADIUSサーバーがAccess-Rejectを返すか、IPアドレス0.0.0.0を返してきた場合は、フローを拒否します。
- ACTIONがALLOW（デフォルト拒否）で、RADIUSサーバーがAccess-Acceptを返し、なおかつ、有効なIPアドレスを返してきた場合は、フローを許可します。
- ACTIONがDENY（デフォルト許可）で、RADIUSサーバーがAccess-Rejectを返すか、有効なIPアドレスを返してきた場合、フローを許可します。
- ACTIONがDENY（デフォルト許可）で、RADIUSサーバーがAccess-Acceptを返し、なおかつ、IPアドレス0.0.0.0を返してきた場合、フローは破棄されます。

ルールの時間制限

特定の曜日や時間帯だけルールを有効にすることもできます。この機能を利用すれば、平日の営業時間内に限って外部からのWebアクセスを許可するといった設定が可能です。時間制限の設定は、ADD FIREWALL POLICY RULEコマンドのAFTER、BEFORE、DAYSパラメーターで行います。

■ 次の例では、平日（月～金）の9:00～20:00に限り、外部から内部のWebサーバー（1.2.3.2へのアクセスを許可します。それ以外の時間帯は、ファイアウォールの基本ルールによりすべてのアクセスが拒否されます。

ADD FIRE POLI=mynet RU=1 AC=ALLOW INT=ppp0 PROT=TCP IP=1.2.3.2 PORT=80 DAYS=WEEKDAY AFT=9:00 BEF=20:00 ↓

このコマンドは、「ppp0インターフェースで受信したTCPパケットのうち、終点IPアドレスが1.2.3.2で終点ポートが80のものを、平日（月～金）の9:00～20:00の間に限って通過させる」の意味になります。

■ ファイアウォールルールでは、TTLパラメーターでルールの有効期間を指定することができます。TTL指定のルールは、動的なものであり設定ファイルには保存されません。コマンド入力後TTLで指定した時間が経過すると削除されます。

ルールの確認・修正・削除

■ ファイアウォールポリシーに設定されたルールの内容を確認するには、SHOW FIREWALL POLICYコマンドを使います。

■ ルールを修正するにはSET FIREWALL POLICY RULEコマンドを使います。

■ ルールを削除するにはDELETE FIREWALL POLICY RULEコマンドを使います。

ルールの処理順序

新しく開始されたセッションまたはフロー（以下、フローとします）の向きによって、マッチするルールがなかったときのデフォルトの動作が決定されます。PRIVATEインターフェース側から開始されたフローはデフォルト許可、PUBLIC側から開始されたフローはデフォルト拒否となります。以後、番号の小さいものから順にルールがチェックされていきます。ひとつもマッチするルールがなかった場合は、最初に決めたデフォルトの動作を行います。
新規フローのプロトコルタイプ（PROTOCOL）と一致するルールがないかチェックします。プロトコルが一致するルールがなかった場合、デフォルトの動作を実行します。
プロトコルがTCPかUDPの場合、終点ポート（PORT）をチェックします。一致するルールがなかった場合はデフォルトの動作を実行します。
プロトコルがTCPかUDPの場合、始点ポート（SOURCEPORT）をチェックします。一致するルールがなかった場合はデフォルトの動作を実行します。
リモートIPアドレス（REMOTEIP）をチェックします。PRIVATE側からのフローでは終点IPアドレス、PUBLIC側からのフローでは始点IPアドレスです。一致するルールがなかった場合はデフォルトの動作を実行します。
ローカルIPアドレス（IPまたはGBLIP）をチェックします。PRIVATE側からのフローでは始点IPアドレス、PUBLIC側からのフローでは終点IPアドレスです。終点IPアドレスは、NATを使用している場合はPUBLIC側の送信元ホストから見えるグローバルIPアドレス（GBLIP）、NATを使用していない場合はPRIVATE側ホストのIPアドレス（IP）になります。
IPアドレスが一致した場合は、時刻をチェックします。現在時刻がルールが有効でない時間帯ならば、該当ルールにはマッチしません。
EthernetまたはVLANインターフェースに適用されたルールでハードウェア（MACアドレス）リストが指定されている場合、新規フローの送信元MACアドレスに一致するアドレスがリストに記載されているかどうかをチェックします。一致するアドレスがなかった場合はデフォルトの動作を実行します。
ルールでIPリストが指定されている場合、PRIVATE側からのフローでは終点IPアドレスが、PUBLIC側からのフローでは始点IPアドレスをチェックします。IPリストもRADIUSサーバーも設定されていない場合、ルールのアクションがALLOWならば、この時点で新規フローは通過を許可されます。アクションがDENYならば破棄されます。同様に、IPリストにマッチするアドレスが掲載されていた場合も、アクションがALLOWなら許可、DENYなら破棄します。
IPリストにマッチするアドレスがなく、RADIUSサーバーも設定されていない場合は、アクションがALLOWなら新規フローは破棄されます。アクションがDENYならば、PRIVATE側から開始されたフローは許可され、それ以外の場合はデフォルトの動作を実行します。
IPリストにマッチするアドレスがなく、RADIUSサーバーが設定されている場合、新規フローの終点IPアドレス（PRIVATE側からのフロー）あるいは始点IPアドレス（PUBLIC側からのフロー）について、RADIUSサーバーに問い合わせを行います。RADIUSサーバーの応答は、次のように解釈します。
- アクションがALLOW（デフォルト拒否）なら、RADIUSサーバーがAccess-Rejectを返すか、IPアドレス0.0.0.0を返してきた場合は、フローを拒否します。
- アクションがALLOW（デフォルト拒否）で、RADIUSサーバーがAccess-Acceptを返し、なおかつ、有効なIPアドレスを返してきた場合は、フローを許可します。
- アクションがDENY（デフォルト許可）で、RADIUSサーバーがAccess-Rejectを返すか、有効なIPアドレスを返してきた場合、フローを許可します。
- アクションがDENY（デフォルト許可）で、RADIUSサーバーがAccess-Acceptを返し、なおかつ、IPアドレス0.0.0.0を返してきた場合、フローは破棄されます。

ファイアウォールの動作監視

ファイアウォールの運用にあたっては、ルールを適切かつ正しく設定することはもちろんですが、ファイアウォールの周辺でどのような活動が行われているかを調べることも重要です。本製品のログ機能や自動通知機能、トリガー機能などを利用すれば、このような監視作業を効果的に行うことができます。

ログ

ファイアウォールの動作を監視する場合、ログはもっとも基本的な資料になります。デフォルトでは、攻撃などの重大イベントしか記録されませんので、以下のコマンドを実行して必要なログオプションを有効にしてください。

■ ファイアウォールで拒否されたパケットのログをとるには、ENABLE FIREWALL POLICYコマンドのLOGパラメーターに記録するパケットの種類を指定します。たとえば、ファイアウォールで拒否されたすべてのパケットを記録するには、次のようにします。

ENABLE FIREWALL POLICY=mynet LOG=DENY ↓

LOGパラメーターにはほかにもさまざまなオプションを指定できます。LOGパラメーターには複数の項目をカンマ区切りで指定することができます。

表 11：ファイアウォールのログオプション一覧

オプション名 対象パケット

INATCP 外部（PUBLIC側）からのTCPセッション開始を許可

INAUDP 外部からのUDPフロー開始を許可

INAICMP 外部からのICMP要求を許可

INAOTHER 外部からのIPフロー開始（TCP、UDP、ICMP以外）を許可

INALLOW 外部からのセッション/フロー開始を許可。INATCP、INAUDP、INAICMP、INAOTHERをすべて指定したのに等しい

OUTATCP 内部（PRIVATE側）からのTCPセッション開始を許可

OUTAUDP 内部からのUDPフロー開始を許可

OUTAICMP 内部からのICMP要求を許可

OUTAOTHER 内部からのIPフロー開始（TCP、UDP、ICMP以外）を許可

OUTALLOW 内部からのセッション/フロー開始を許可。OUTATCP、OUTAUDP、OUTAICMP、OUTAOTHERをすべて指定したのと等しい

ALLOW 内外からのセッション/フロー開始を許可

INDTCP 外部からのTCPセッション開始を遮断

INDUDP 外部からのUDPフロー開始を遮断

INDICMP 外部からのICMP要求を遮断

INDOTHER 外部からのIPフロー開始（TCP、UDP、ICMP以外）を遮断

INDENY 外部からのセッション/フロー開始を遮断。INDTCP、INDUDP、INDICMP、INDOTHERをすべて指定したのに等しい

OUTDTCP 内部からのTCPセッション開始を遮断

OUTDUDP 内部からのUDPフロー開始を遮断

OUTDICMP 内部からのICMP要求を遮断

OUTDOTHER 内部からのIPフロー開始（TCP、UDP、ICMP以外）を遮断

OUTDENY 内部からのセッション/フロー開始を遮断。OUTDTCP、OUTDUDP、OUTDICMP、OUTDOTHERをすべて指定したのに等しい

DENY 内外からのセッション/フロー開始を遮断

INDDTCP 外部からのTCPセッション開始を遮断し、IPパケットの先頭最大192バイトを記録

INDDUDP 外部からのUDPフロー開始を遮断し、IPパケットの先頭最大192バイトを記録

INDDICMP 外部からのICMP要求を遮断し、IPパケットの先頭最大192バイトを記録

INDDOTHER 外部からのIPフロー開始（TCP、UDP、ICMP以外）を遮断し、IPパケットの先頭最大192バイトを記録

INDDUMP 外部からのセッション/フロー開始を遮断し、IPパケットの先頭最大192バイトを記録

OUTDDTCP 内部からのTCPセッション開始を遮断し、IPパケットの先頭最大192バイトを記録

OUTDDUDP 内部からのUDPフロー開始を遮断し、IPパケットの先頭最大192バイトを記録

OUTDDICMP 内部からのICMP要求を遮断し、IPパケットの先頭最大192バイトを記録

OUTDDOTHER 内部からのIPフロー開始（TCP、UDP、ICMP以外）を遮断し、IPパケットの先頭最大192バイトを記録

OUTDDUMP 内部からのセッション/フロー開始を遮断し、IPパケットの先頭最大192バイトを記録

DENYDUMP 内外からのセッション/フロー開始を遮断し、IPパケットの先頭最大192バイトを記録

■ ファイアウォールに関するログは次のコマンドで見ることができます。

SHOW LOG MODULE=FIRE ↓

または

SHOW LOG TYPE=FIRE ↓

■ 大量のログメッセージが記録されている場合などに、最新のメッセージだけを見たい場合は、TAILオプションを付けます。


SHOW LOG MODULE=FIRE TAIL（最新の20メッセージを表示） ↓

SHOW LOG MODULE=FIRE TAIL=10（同10メッセージを表示） ↓

Manager > show log module=fire

Date/Time   S Mod  Type  SType Message
-------------------------------------------------------------------------------
28 10:39:45 4 FIRE FIRE  INDIC ICMP - Source 172.16.28.32 Dest 172.16.28.255
                               Type 9 Code 0
28 10:39:45 4 FIRE FIRE  INDIC bad ICMP message type to pass
28 10:40:05 4 FIRE FIRE  INDUD UDP - Source 172.16.28.120:137 Dest
                               172.16.28.255:137
28 10:40:05 4 FIRE FIRE  INDUD flow rejected by policy rule
28 10:40:06 4 FIRE FIRE  INDUD UDP - Source 172.16.28.120:137 Dest
                               172.16.28.255:137
28 10:40:06 4 FIRE FIRE  INDUD flow rejected by policy rule
28 10:40:41 3 FIRE FIRE  OUTDT TCP - Source 192.168.10.1:1045 Dest
                               172.16.28.1:139
28 10:40:41 3 FIRE FIRE  OUTDT flow rejected by policy rule
-------------------------------------------------------------------------------

■ ファイアウォールのログオプションのうち、INATCP、INAUDP、INAICMP、INAOTHER、INALLOWに対応するメッセージのログレベル（Severity）は2です。ログ機能のデフォルト設定では、ログレベル3以上のメッセージだけを保存するようになっているため、SHOW LOGコマンドを実行しても前記のメッセージは表示されません。これらのメッセージが記録されるようにするには、ログメッセージフィルターの設定を変更する必要があります。

たとえば、次のコマンドを実行すれば、ファイアウォール関連のメッセージはすべて、ログレベルに関係なく「TEMPORARY」ログ（RAM上に記録されるログ）に保存されるようになります。


ADD LOG OUTPUT=TEMPORARY MODULE=FIRE ↓

イベント通知

重大なイベント（攻撃開始など）を自動的に通知するよう設定するには、ENABLE FIREWALL NOTIFYコマンドを使います。イベントの通知先としては、次のものがあります。

MANAGER：Manager権限でログインしているすべての端末画面にメッセージを出力
SNMP：あらかじめ設定しておいたトラップホストにSNMPトラップを送信
MAIL：あらかじめ指定しておいたメールアドレスにメールを送信
PORT：非同期ポートにメッセージを出力

各通知先は個別にオン・オフできます。デフォルトでは、通知イベント発生時にManagerレベルでログインしているコンソールにメッセージが表示されるようになっています。

■ イベント発生時に管理者にメールを送るには次のようにします。

1. メール送信のための設定を行います。詳細は「運用・管理」/「メール送信」をご覧ください。


SET MAIL HOSTNAME=gw.example.com ↓

ADD IP DNS PRIMARY=192.168.10.5 ↓

2. メールアドレスを指定し、メールによる通知を有効にします。

ENABLE FIREWALL NOTIFY=MAIL TO=admin@is.example.com ↓

Synアタックを受けたときに送られてきたメールの例

Subject: Firewall message
From: manager@gw.example.com
To: <admin@is.example.com>
Date: Sun, 22 Jul 2001 13:33:19 +0900

22-Jul-2001 13:33:19
  SYN attack from 1xx.43.12.xxx is underway

Note - メール通知を有効にするには、あらかじめメール送信のための基本設定（自ホスト名、DNSサーバーの設定）が必要です。詳細は「運用・管理」/「メール送信」をご覧ください。

■ イベント発生時にSNMPトラップを上げるには次のようにします。ここでは、トラップ送信先として、SNMPマネージャー192.168.10.5を設定します。

1. SNMPの設定を行います。詳細は「運用・管理」/「SNMP」をご覧ください。


ENABLE SNMP ↓

CREATE SNMP COMMUNITY=public MANAGER=192.168.10.5 TRAPHOST=192.168.10.5 ↓

ENABLE SNMP COMMUNITY=public TRAP ↓

2. SNMPトラップによるイベント通知を有効にします。

ENABLE FIREWALL NOTIFY=SNMP ↓

ポートスキャンを受けたときに送られてきたトラップの例

172.16.10.1: Enterprise Specific Trap (1) Uptime: 2:19:50
enterprises.207.8.4.4.4.77.1.0 = OCTET STRING: "22-Jul-2001 14:15:47..
  Port scan from 12.xx.xx.xx is underway"

Note - SNMPトラップによる通知を有効にするには、あらかじめSNMPの基本設定（SNMPモジュールの有効化、コミュニティーの作成、マネージャー/トラップホストの指定、トラップの有効化）が必要です。詳細は「運用・管理」/「SNMP」をご覧ください。

■ 現在有効になっている通知先を確認するには、SHOW FIREWALLコマンドを実行します。「Enabled Notify Options」に有効な通知先が表示されます。

■ イベント通知をオフにするにはDISABLE FIREWALL NOTIFYコマンドを使います。

DISABLE FIREWALL NOTIFY=MAIL ↓

■ ファイアウォールイベントの履歴を見るには、SHOW FIREWALL EVENTコマンドを使います。

SHOW FIREWALL EVENT ↓

大きく分けて、イベントには次の3種類があります。上記コマンドを実行すると、すべてのイベントが表示されます。

通知（Notify）イベント：攻撃の開始や終了。攻撃の種類については別表を参照
拒否（Deny）イベント：ファイアウォールで拒否されたパケット
許可（Allow）イベント：ファイアウォールの通過を許可されたパケット

特定イベントの履歴だけを見るには次のようにします。

SHOW FIREWALL EVENT=NOTIFY ↓

通知イベントには次のような攻撃が含まれます。

表 12：攻撃一覧

攻撃名称 説明

DoS Flood 不要なトラフィックで帯域を占有し、ネットワークサービスを妨害する

Fragment Attack 巨大なフラグメントや再構成できないフラグメントを送りつける

Host Scan 内部ネットワークで稼動中のホストを調べる

IP Spoofing 送信元IPアドレスを詐称する

Land Attack 始点と終点に同じアドレスを設定したIPパケットによるDOS攻撃。システムのバグを狙う

Ping of Death システムのバグをつくもので、特定サイズのPingパケットを送りつけることによりシステムをクラッシュさせる

Port Scan ホスト上で稼動中のサービスを調べる

SMTP Third-party Relay メールの不正中継。宛先とは関係のないドメインのメールサーバーを利用してメールを送信する。spamメールの送信者が送信元を隠すために使用することが多い

Smurf Attack 始点アドレスを詐称（標的のアドレスを設定する）したPingパケットを中継サイトのディレクディドブロードキャストアドレスに送り、中継サイトから標的サイトに大量のリプライを送りつけさせる

Spam spamメール。不要なメールを送りつける。何をspamと見なすかは受信者次第。本製品では、spamリストで指定されたドメイン、メールアドレスからのメールをspamメールと見なす

Syn Attack TCPのSynパケットを断続的に送りつけ、ハーフオープンのコネクションを大量に生成し（始点アドレスを詐称するためSyn/Ackへの応答はない）、標的システムのコネクションキューを枯渇させる

Tiny Fragment Attack 微小なフラグメントを用いてTCPフラグを2個目のフラグメントに入れ、Synパケットのフィルタリングをくぐりぬけようとする

UDP Port Scan UDPによるポートスキャン

トリガー

ファイアウォールトリガーを使えば、各種攻撃の開始時・終了時にスクリプトを実行させることができます。ファイアウォールトリガーは、CREATE TRIGGER FIREWALLコマンドで作成します。

■ 次の例では、ポートスキャンの開始を検出したときに管理者にメールを送るよう設定します。メールはサブジェクトのみとし、ファイアウォールトリガーの引数を利用してサブジェクトに攻撃者のIPアドレスとポリシー名が入るようにします。


ENABLE TRIGGER ↓

CREATE TRIGGER=1 FIREWALL=PORTSCAN MODE=START SCRIPT=pscans.scp ↓

スクリプト「pscans.scp」の内容

MAIL TO=admin@is.example.com SUBJECT="Portscan from %2 started (Policy %1)"

上記トリガーによって送られてきたメールの例

Subject: Portscan from 1xx.xx.3x.180 started (Policy mynet)
From: manager@gw.example.com
To: <admin@is.example.com>
Date: Sun, 22 Jul 2001 14:37:21 +0900

Note - メール機能を使用するためには、あらかじめメール送信のための基本設定（自ホスト名、DNSサーバーの設定）が必要です。詳細は「運用・管理」/「メール送信」をご覧ください。

■ 攻撃検出のしきい値はSET FIREWALL POLICY ATTACKコマンドで変更できます。

■ 攻撃検出のしきい値はSHOW FIREWALL POLICY ATTACKコマンドで確認できます。

アカウンティング

アカウンティング機能を利用すれば、ポリシーごとにトラフィックの記録を取ることができます。

■ アカウンティングはENABLE FIREWALL POLICYコマンドのACCOUNTINGオプションで有効にします。

ENABLE FIREWALL POLICY=mynet ACCOUNTING ↓

■ アカウンティング情報を見るには、SHOW FIREWALL ACCOUNTINGコマンドを使います。

Manager > show firewall accounting

Policy : mynet
Date/Time   Event  Dir Prot  IP:Port <-> Dest IP:Port /Traffic statistics
-------------------------------------------------------------------------------
22 14:42:17 END    OUT UDP   172.16.28.160:2060 172.16.28.1:53
                             Traffic out 1:66 in 1:118
22 14:42:17 END    OUT TCP   172.16.28.160:36399 172.16.48.16:25
                             Traffic out 13:846 in 12:967
22 14:44:33 START  OUT UDP   192.168.10.5:65406 172.16.28.1:53
22 14:44:33 END    OUT ICMP  192.168.10.5 172.16.28.1
                             Traffic out 1:84 in 1:84
22 14:44:34 END    OUT ICMP  192.168.10.5 172.16.28.1
                             Traffic out 1:84 in 1:84
22 14:44:35 END    OUT ICMP  192.168.10.5 172.16.28.1
                             Traffic out 1:84 in 1:84
22 14:44:36 END    OUT ICMP  192.168.10.5 172.16.28.1
                             Traffic out 1:84 in 1:84
22 14:47:16 START  OUT TCP   192.168.10.50:1031 172.16.28.5:80
22 14:47:17 START  OUT TCP   192.168.10.50:1032 172.16.28.5:80
22 14:47:44 END    IN  ICMP  172.16.28.180 172.16.28.160
                             Traffic out 1:28 in 1:28
-------------------------------------------------------------------------------

■ アカウンティング情報はログにも記録されます。ログレベルは3です。アカウンティング情報だけを見るには次のようにします。

SHOW LOG TYPE=ACCO ↓

Manager > show log type=acco

Date/Time   S Mod  Type  SType Message
-------------------------------------------------------------------------------
22 14:42:18 3 FIRE ACCO  END   UDP 172.16.28.160:2060 172.16.28.1:53 Flow
                               terminated
22 14:42:18 3 FIRE ACCO  END   Flow traffic out 1:66 in 1:118
22 14:42:18 3 FIRE ACCO  END   TCP 172.16.28.160:36399 172.16.48.16:25 Flow
                               terminated
22 14:42:18 3 FIRE ACCO  END   Flow traffic out 13:846 in 12:967
22 14:44:33 3 FIRE ACCO  START UDP 192.168.10.5:65406 172.16.28.1:53 Flow
                               started
22 14:44:33 3 FIRE ACCO  END   ICMP 192.168.10.5 172.16.28.1  Flow terminated
22 14:44:33 3 FIRE ACCO  END   Flow traffic out 1:84 in 1:84
22 14:44:34 3 FIRE ACCO  END   ICMP 192.168.10.5 172.16.28.1  Flow terminated
22 14:44:34 3 FIRE ACCO  END   Flow traffic out 1:84 in 1:84
22 14:44:35 3 FIRE ACCO  END   ICMP 192.168.10.5 172.16.28.1  Flow terminated
22 14:44:35 3 FIRE ACCO  END   Flow traffic out 1:84 in 1:84
22 14:44:36 3 FIRE ACCO  END   ICMP 192.168.10.5 172.16.28.1  Flow terminated
22 14:44:36 3 FIRE ACCO  END   Flow traffic out 1:84 in 1:84
22 14:47:15 3 FIRE ACCO  START TCP 192.168.10.50:1031 172.16.28.5:80 Flow
                               started
22 14:47:16 3 FIRE ACCO  START TCP 192.168.10.50:1032 172.16.28.5:80 Flow
                               started
22 14:47:44 3 FIRE ACCO  END   ICMP 172.16.28.180 172.16.28.160  Flow
                               terminated
22 14:47:44 3 FIRE ACCO  END   Flow traffic out 1:28 in 1:28
22 14:49:35 3 FIRE ACCO  END   UDP 192.168.10.5:65406 172.16.28.1:53 Flow
                               terminated
22 14:49:35 3 FIRE ACCO  END   Flow traffic out 1:70 in 1:190
-------------------------------------------------------------------------------

デバッグオプション

ファイアウォールポリシーのデバッグオプションをオンにするには、ENABLE FIREWALL POLICYコマンドのDEBUGパラメーターを使います。オプションには、パケットダンプの表示（PKT）と処理プロセスの表示（PROCESS）があります。

Note - DEBUGパラメーターは、トラブルシューティング時など、内部情報の確認が必要な場合を想定したものですので、ご使用に際しては弊社技術担当にご相談ください。

■ デバッグオプションPKTをオンにすると、コンソールにIPパケットの先頭56バイトが16進ダンプされるようになります。

ENABLE FIREWALL POLICY=mynet DEBUG=PKT ↓

Manager >
FIRE ICMP  45000024 c6070000 01018e04 ac101c20 ac101cff 0900421e 01020168
           96571c20 00000000

Manager >
FIRE TCP   4500003c c87c4000 40060c3d ac101cb4 ac101ca0 05e70017 3398573f
           00000000 a0027d78 19d20000 020405b4 0402080a 0d82ac62 00000000

■ デバッグオプションPROCESSをオンにすると、コンソールにIPパケットの処理過程が逐次表示されるようになります。

ENABLE FIREWALL POLICY=mynet DEBUG=PROCESS ↓

FIRE UDP   4500004d 218a0000 4011dc10 c0a80a05 ac101c01 ff780035 00393422
           067f0100 00010000 00000000 076f6374 6f766572 0274770e 616c6c69

FIREWALL new flow - UDP - session ID 8b2e
FIREWALL packet sent to UDP handler
FIREWALL flow 8b2e found for packet
FIREWALL packet sent to UDP handler
FIREWALL packet passed - UDP OUT - passed by rule 0

FIRE UDP   4500004d 218b0000 4011dc0f c0a80a05 ac101c01 ff770035 00394f22
           06800100 00010000 00000000 076f6374 6f766572 0274770e 616c6c69

FIREWALL new flow - UDP - session ID 9a14
FIREWALL packet sent to UDP handler
FIREWALL flow 9a14 found for packet
FIREWALL packet sent to UDP handler
FIREWALL packet passed - TCP OUT - passed by rule 0

FIRE TCP   4500003c 218c0000 4006db77 c0a80a05 ac101cb4 e2360017 d71d5199
           00000000 a0024000 1d930000 020405b4 01030300 0101080a 000064b7

FIREWALL new flow - TCP - session ID a9c5
FIREWALL packet sent to TCP handler
FIREWALL flow a9c5 found for packet
FIREWALL packet sent to TCP handler direction IN
FIREWALL flow a9c5 found for packet
FIREWALL packet sent to TCP handler direction OUT
FIREWALL flow a9c5 found for packet
FIREWALL packet sent to TCP handler direction OUT
FIREWALL flow a9c5 found for packet
FIREWALL packet sent to TCP handler direction IN
FIREWALL flow a9c5 found for packet
FIREWALL packet sent to TCP handler direction IN

■ デバッグオプションを無効にするには、DISABLE FIREWALL POLICYコマンドのDEBUGパラメーターを使います。

DISABLE FIREWALL POLICY=mynet DEBUG=PKT ↓

■ 現在有効なデバッグオプションはSHOW FIREWALL POLICYコマンドで確認します。「Enabled Debug Options」に有効なオプションが表示されます。

セッションの確認

■ 現在ファイアウォールを介して行われている通信セッションを確認するにはSHOW FIREWALL SESSIONコマンドを使います。

Manager > show firewall session

Policy : net
Current Sessions
-------------------------------------------------------------------------------
3612 UDP      IP: 192.168.10.100:64499      Remote IP: 172.17.28.1:53
          Gbl IP: 172.17.28.185:13842   Gbl Remote IP: 172.17.28.1:53
     Start time ........................... 17:44:35 07-Mar-2002
     Seconds to deletion .................. 264
158f UDP      IP: 192.168.10.100:64500      Remote IP: 172.17.28.1:53
          Gbl IP: 172.17.28.185:5519    Gbl Remote IP: 172.17.28.1:53
     Start time ........................... 17:44:13 07-Mar-2002
     Seconds to deletion .................. 246
7527 UDP      IP: 192.168.10.100:64501      Remote IP: 172.17.28.1:53
          Gbl IP: 172.17.28.185:29991   Gbl Remote IP: 172.17.28.1:53
     Start time ........................... 17:41:11 07-Mar-2002
     Seconds to deletion .................. 60
5e9e TCP      IP: 192.168.10.100:65484      Remote IP: 172.17.28.103:22
          Gbl IP: 172.17.28.185:24222   Gbl Remote IP: 172.17.28.103:22
     TCP state ............................ closed
     Start time ........................... 17:35:17 07-Mar-2002
     Seconds to deletion .................. 54
-------------------------------------------------------------------------------

■ 各セッションの統計情報を確認するには、SHOW FIREWALL SESSIONコマンドにCOUNTERオプションを付けます。

Manager > show firewall session counter

Policy : net
Current Sessions
-------------------------------------------------------------------------------
43fa TCP      IP: 192.168.10.100:65480      Remote IP: 172.17.22.10:80
          Gbl IP: 172.17.28.185:17402   Gbl Remote IP: 172.17.22.10:80
     Packets from private IP .............. 8
     Octets from private IP ............... 558
     Packets to private IP ................ 8
     Octets to private IP ................. 6881
     TCP state ............................ closed
     Start time ........................... 17:51:26 07-Mar-2002
     Seconds to deletion .................. 300
c296 TCP      IP: 192.168.10.100:65483      Remote IP: 172.17.24.1:23
          Gbl IP: 172.17.28.185:49814   Gbl Remote IP: 172.17.24.1:23
     Packets from private IP .............. 11
     Octets from private IP ............... 555
     Packets to private IP ................ 12
     Octets to private IP ................. 554
     TCP state ............................ timeWait
     Start time ........................... 17:49:33 07-Mar-2002
     Seconds to deletion .................. 246
ea27 UDP      IP: 192.168.10.100:64433      Remote IP: 172.17.28.1:53
          Gbl IP: 172.17.28.185:59943   Gbl Remote IP: 172.17.28.1:53
     Packets from private IP .............. 1
     Octets from private IP ............... 75
     Packets to private IP ................ 1
     Octets to private IP ................. 149
     Start time ........................... 17:50:05 07-Mar-2002
     Seconds to deletion .................. 270
-------------------------------------------------------------------------------

■ 特定のセッションを強制的に終了させるには、SHOW FIREWALL SESSIONコマンドで該当セッションのIDを確認してから、次のコマンドを実行します。

DELETE FIREWALL SESSION=c296 ↓

ダイナミックインターフェース

ファイアウォールを使用するためには、ADD FIREWALL POLICY INTERFACEコマンドで監視対象インターフェースを指定する必要があります。また、ファイアウォールルールを作成するときや、NATルールを設定するときにもインターフェース名の指定が必要です。

eth0、ppp0のように固定的に設定されているインターフェースの場合は、単にインターフェース名を指定するだけですが、外部からダイヤルアップを受け付けているような場合、動的に作成されるインターフェース（PPPテンプレートなどによって作成されるインターフェース）をどのようにして指定するかが問題となります。

動的に作成されるPPPインターフェースをファイアウォール関連コマンドで使用するときは、「ダイナミックインターフェーステンプレート」という仕組みを使います。この仕組みを使うと、特定ユーザーが接続してきたときに作成される動的インターフェースに任意の名前（テンプレート名）を付けることができます。たとえば、ユーザー「pon」が接続してきたときに作成されるPPPインターフェースに「pon-if」という名前を付けられます。ADD FIREWALL POLICY INTERFACEコマンドなど、ファイアウォールの設定コマンドでインターフェース名を指定するときは、「DYN-」＋テンプレート名で指定することができます。

テンプレートの作成

■ ファイアウォールで動的なPPPインターフェースを扱うときは、最初にCREATE FIREWALL POLICY DYNAMICコマンドでテンプレートを作成します。テンプレート名は自由です。

CREATE FIREWALL POLICY=net DYNAMIC=dialup_if ↓

■ 次に、このテンプレートで参照するインターフェースの対象ユーザーをADD FIREWALL POLICY DYNAMICコマンドで追加します。たとえば、ユーザーwhiteがダイヤルアップしてきたときに作成されるインターフェースを、テンプレート「dialup_if」として参照したい場合は、次のようにします。

ADD FIREWALL POLICY=net DYNAMIC=dialup_if USER=white ↓

Note - 同じユーザー名を複数のテンプレートに割り当てることはできません。

■ PPPの認証なしで作成されたインターフェースを参照する場合は、USERパラメーターにNONEを指定します。これは、認証を必要としないすべてのPPPインターフェースを対象とすることを示します。

ADD FIREWALL POLICY=net DYNAMIC=noauth_if USER=NONE ↓

■ PPPの認証を受けたユーザーすべてを対象とする場合は、USERパラメーターにANYを指定します。

ADD FIREWALL POLICY=net DYNAMIC=alluser USER=ANY ↓

■ 1つのテンプレートで複数のユーザーを対象にすることもできます。その場合は、ADD FIREWALL POLICY DYNAMICコマンドを複数回実行してください。たとえば、営業部員がダイヤルアップしてきたときに作成されるインターフェースを「sales_if」という名前で総称するとします。営業部には、hayashi、kobayashi、oobayyashiという3ユーザーがいるとした場合は、次のように設定します。


CREATE FIREWALL POLICY=net DYNAMIC=sales_if ↓

ADD FIREWALL POLICY=net DYNAMIC=sales_if USER=hayashi ↓

ADD FIREWALL POLICY=net DYNAMIC=sales_if USER=kobayashi ↓

ADD FIREWALL POLICY=net DYNAMIC=sales_if USER=oobayashi ↓

■ リストファイルを使ってユーザーをまとめて指定することもできます。最初にEDITコマンド等で次のようなテキストファイルを作成してください。1行に1つユーザーを記述します。拡張子は.txtです。

ファイルnewusers.txt

nakata
nakano
nakao
nakajima
nakamura
nakayama

ファイルを作成したら、ADD FIREWALL POLICY DYNAMICコマンドのFILEパラメーターでファイル名を指定します。

ADD FIREWALL POLICY=net DYNAMIC=sales_if FILE=newusers.txt ↓

ファイル（FILE）で指定したユーザーと、USERパラメーターで指定したユーザーは共存できます。

■ ダイナミックインターフェーステンプレートから対象ユーザーを削除するには、DELETE FIREWALL POLICY DYNAMICコマンドを使います。

DELETE FIREWALL POLICY=net DYNAMIC=sales_if USER=oobayashi ↓

■ ダイナミックインターフェーステンプレートからユーザーリストを削除するには、DELETE FIREWALL POLICY DYNAMICコマンドのFILEパラメーターを使います。

DELETE FIREWALL POLICY=net DYNAMIC=sales_if FILE=newusers.txt ↓

■ ダイナミックインターフェーステンプレートは、DESTROY FIREWALL POLICY DYNAMICコマンドで削除します。テンプレートにユーザーが設定されている場合でも削除は可能です。

DESTROY FIREWALL POLICY=net DYNAMIC=dialup_if ↓

テンプレートの使用

作成したダイナミックインターフェーステンプレートは、ファイアウォール関連コマンドでインターフェース名を指定する箇所ならどこでも使用できます。そのとき、「DYN-」＋テンプレート名の形式で指定します。以下、例を示します。

■ ファイアウォールポリシーに動的インターフェースを追加する。

ADD FIREWALL POLICY=net INTERFACE=DYN-dialup_if TYPE=PRIVATE ↓

■ 動的インターフェースからWebサーバー宛てのパケットを通さない。

ADD FIREWALL POLICY=net RULE=1 AC=DENY INT=DYN-dialup_if PROTO=TCP PORT=WWW ↓

Note - ダイナミックインターフェーステンプレートをNATルールのグローバルインターフェースとして指定することはできません。

その他設定

本製品のファイアウォールは、各種コマンドを使って細かい動作の変更が可能です。ここでは主要な設定についてのみ説明します。詳細はコマンドリファレンスをご覧ください。

■ Pingパケット（ICMP echo、echo reply）とICMP Destination Unreachableを通すには、次のようにします。デフォルトではICMPはすべて通しません（ルーター自身へのPingには応答します）。

ENABLE FIREWALL POLICY=mynet ICMP_F=PING,UNREACH ↓

Note - ICMP Destination Unreachableメッセージ（ICMPタイプ3）は、IPホストが通信経路上の最大パケットサイズ（Path MTU）を知る目的で使用することがあります。そのため、本メッセージを遮断すると、一部のサイトにアクセスできなくなる可能性があります。

ICMP_FORWARDINGにALLを指定すると（Pingだけでなく）すべてのICMPメッセージを通すようになりますが、セキュリティー的にはお勧めできません。

なお、ファイアウォールでは、ICMPについては方向の制御ができません。すなわち、ICMPパケットは双方向とも通すか、まったく通さないかの設定しかできません。

内部からのPing（echo）は通すが、外部からのPing（Echo）は拒否するといった設定をしたい場合は、IPフィルターを併用してください。IPフィルターではICMPパケットに対する細かい制御が可能です。外部（ppp0）からのみPingを拒否するには、次のようなフィルターを設定します。IPフィルターの詳細については、「IP」の章をご覧ください。


ADD IP FILTER=0 SO=0.0.0.0 PROTO=ICMP ICMPTYPE=ECHO ACTION=EXCLUDE ↓

ADD IP FILTER=0 SO=0.0.0.0 ACTION=INCLUDE ↓

SET IP INT=ppp0 FILTER=0 ↓

■ Pingの転送をオフにするには、次のコマンドを実行します。

DISABLE FIREWALL POLICY=mynet ICMP_F=PING ↓

■ 本製品自身への外部からのPingに応答しないようにするには、次のようにします。デフォルトでは応答します。また、内部からのPingには常に応答します。

DISABLE FIREWALL POLICY=mynet PING ↓

■ 外部からのident（TCP 113番ポート）要求に対して、RSTを返すようにするには次のようにします。

デフォルトでは、ファイアウォール外部のSMTP（メール）サーバーなどからのident要求に対して本製品が代理応答します（identプロキシー機能）。しかし、外部のSMTP（メール）サーバーなどへの接続に時間がかかりすぎる場合は、DISABLE FIREWALL POLICY IDENTPROXYコマンドを実行してidentプロキシーをオフにしてみてください。これにより、外部からのident要求に対してただちにRSTを返すようになります（こちらの実装のほうが一般的なようです）。

DISABLE FIREWALL POLICY=mynet IDENTPROXY ↓

なお、identプロキシー機能がオンのときは、ident要求に対して本製品がproxyuserというユーザー名を返答します。

■ ファイアウォールのデフォルト設定では、PUBLIC・PRIVATEインターフェース間のTCPセッション確立時にTCP Synパケットの代理応答を行いますが、一部のアプリケーションではこの動作（代理応答）によって矛盾が生じることがあります。

その場合は、DISABLE FIREWALL POLICY TCPSETUPPROXYコマンドで代理応答を無効にしてください。

DISABLE FIREWALL POLICY=mynet TCPSETUPPROXY ↓

いったん無効にした代理応答を再度イネーブルにするには、ENABLE FIREWALL POLICY TCPSETUPPROXYコマンドを使います。

ENABLE FIREWALL POLICY=mynet TCPSETUPPROXY ↓

PN: J613-M3048-01 Rev.M

送信元→宛先	PRIVATE	PUBLIC	その他
PRIVATE	○	○	×
PUBLIC	×	○	○
その他	×	○	○

送信元→宛先I/F	PRIVATE	PUBLIC	その他
PRIVATE	○	○	×
PUBLIC	×	×	×
その他	×	○	○

パラメーター	指定する内容
ACTION	内部から外部への転送を拒否するためDENYを指定します
INTERFACE	内部（PRIVATE）インターフェースを指定します
PROTOCOL	対象となるプロトコルを指定します。TCP、UDPを指定した場合はPORTの指定も必要です。ALLを指定した場合はICMPを除くすべてのIPパケットが対象となります。また、プロトコル番号による指定も可能です
REMOTEIP	終点IPアドレス。パケットの宛先となる外部ホストのIPアドレスです（範囲指定可）。省略時はすべての終点IPアドレスが対象となります
PORT	終点ポート番号。パケットの宛先となる外部ホストのポート番号です（範囲指定可）。PROTOCOLにTCPかUDPを指定した場合にのみ必要です
IP	始点IPアドレス。パケットの送信元となる内部ホストのIPアドレスです（範囲指定可）。省略時はすべての始点IPアドレスが対象となります
SOURCEPORT	始点ポート番号。パケットの送信元となる内部ホストのポート番号です（範囲指定可）。PROTOCOLにTCPかUDPを指定した場合のみ有効。省略時はすべての始点ポートが対象となります

NAT種別	向き（I/F種別）	プライベート側	グローバル側	備考
スタンダード	内 → 外（PRIVATE）	IP → [REMOTEIP]	GBLIP → [REMOTEIP]	始点アドレスをIPからGBLIPに変換
スタンダード	内 ← 外（PUBLIC）	IP ← [REMOTEIP]	GBLIP ← [REMOTEIP]	終点アドレスをGBLIPからIPに変換
エンハンスト	内 → 外（PRIVATE）	[IP] → [REMOTEIP]	GBLIP → [REMOTEIP]	始点アドレスをIPからGBLIPに変換（ポートも変換）
エンハンスト	内 ← 外（PUBLIC）	[IP] ← REMOTEIP	[IP] ← [GBLREMOTEIP]	始点アドレスをGBLREMOTEIPからREMOTEIPに変換（ポートも変換）
リバース	内 → 外（PRIVATE）	[IP] → [REMOTEIP]	[IP] → GBLREMOTEIP	終点アドレスをREMOTEIPからGBLREMOTEIPに変換
リバース	内 ← 外（PUBLIC）	[IP] ← REMOTEIP	[IP] ← [GBLREMOTEIP]	始点アドレスをGBLREMOTEIPからREMOTEIPに変換
ダブル	内 → 外（PRIVATE）	IP → REMOTEIP	GBLIP → GBLREMOTEIP	始点アドレスをIPからGBLIPに、終点アドレスをREMOTEIPからGBLREMOTEIPに変換
ダブル	内 ← 外（PUBLIC）	IP ← REMOTEIP	GBLIP ← GBLREMOTEIP	始点アドレスをGBLREMOTEIPからREMOTEIPに、終点アドレスをGBLIPからIPに変換

属性名	属性値
User-Name	[ipadd]
User-Password	allowdeny
Framed-IP-Address	拒否なら0.0.0.0、許可ならipadd

オプション名	対象パケット
INATCP	外部（PUBLIC側）からのTCPセッション開始を許可
INAUDP	外部からのUDPフロー開始を許可
INAICMP	外部からのICMP要求を許可
INAOTHER	外部からのIPフロー開始（TCP、UDP、ICMP以外）を許可
INALLOW	外部からのセッション/フロー開始を許可。INATCP、INAUDP、INAICMP、INAOTHERをすべて指定したのに等しい
OUTATCP	内部（PRIVATE側）からのTCPセッション開始を許可
OUTAUDP	内部からのUDPフロー開始を許可
OUTAICMP	内部からのICMP要求を許可
OUTAOTHER	内部からのIPフロー開始（TCP、UDP、ICMP以外）を許可
OUTALLOW	内部からのセッション/フロー開始を許可。OUTATCP、OUTAUDP、OUTAICMP、OUTAOTHERをすべて指定したのと等しい
ALLOW	内外からのセッション/フロー開始を許可
INDTCP	外部からのTCPセッション開始を遮断
INDUDP	外部からのUDPフロー開始を遮断
INDICMP	外部からのICMP要求を遮断
INDOTHER	外部からのIPフロー開始（TCP、UDP、ICMP以外）を遮断
INDENY	外部からのセッション/フロー開始を遮断。INDTCP、INDUDP、INDICMP、INDOTHERをすべて指定したのに等しい
OUTDTCP	内部からのTCPセッション開始を遮断
OUTDUDP	内部からのUDPフロー開始を遮断
OUTDICMP	内部からのICMP要求を遮断
OUTDOTHER	内部からのIPフロー開始（TCP、UDP、ICMP以外）を遮断
OUTDENY	内部からのセッション/フロー開始を遮断。OUTDTCP、OUTDUDP、OUTDICMP、OUTDOTHERをすべて指定したのに等しい
DENY	内外からのセッション/フロー開始を遮断
INDDTCP	外部からのTCPセッション開始を遮断し、IPパケットの先頭最大192バイトを記録
INDDUDP	外部からのUDPフロー開始を遮断し、IPパケットの先頭最大192バイトを記録
INDDICMP	外部からのICMP要求を遮断し、IPパケットの先頭最大192バイトを記録
INDDOTHER	外部からのIPフロー開始（TCP、UDP、ICMP以外）を遮断し、IPパケットの先頭最大192バイトを記録
INDDUMP	外部からのセッション/フロー開始を遮断し、IPパケットの先頭最大192バイトを記録
OUTDDTCP	内部からのTCPセッション開始を遮断し、IPパケットの先頭最大192バイトを記録
OUTDDUDP	内部からのUDPフロー開始を遮断し、IPパケットの先頭最大192バイトを記録
OUTDDICMP	内部からのICMP要求を遮断し、IPパケットの先頭最大192バイトを記録
OUTDDOTHER	内部からのIPフロー開始（TCP、UDP、ICMP以外）を遮断し、IPパケットの先頭最大192バイトを記録
OUTDDUMP	内部からのセッション/フロー開始を遮断し、IPパケットの先頭最大192バイトを記録
DENYDUMP	内外からのセッション/フロー開始を遮断し、IPパケットの先頭最大192バイトを記録

攻撃名称	説明
DoS Flood	不要なトラフィックで帯域を占有し、ネットワークサービスを妨害する
Fragment Attack	巨大なフラグメントや再構成できないフラグメントを送りつける
Host Scan	内部ネットワークで稼動中のホストを調べる
IP Spoofing	送信元IPアドレスを詐称する
Land Attack	始点と終点に同じアドレスを設定したIPパケットによるDOS攻撃。システムのバグを狙う
Ping of Death	システムのバグをつくもので、特定サイズのPingパケットを送りつけることによりシステムをクラッシュさせる
Port Scan	ホスト上で稼動中のサービスを調べる
SMTP Third-party Relay	メールの不正中継。宛先とは関係のないドメインのメールサーバーを利用してメールを送信する。spamメールの送信者が送信元を隠すために使用することが多い
Smurf Attack	始点アドレスを詐称（標的のアドレスを設定する）したPingパケットを中継サイトのディレクディドブロードキャストアドレスに送り、中継サイトから標的サイトに大量のリプライを送りつけさせる
Spam	spamメール。不要なメールを送りつける。何をspamと見なすかは受信者次第。本製品では、spamリストで指定されたドメイン、メールアドレスからのメールをspamメールと見なす
Syn Attack	TCPのSynパケットを断続的に送りつけ、ハーフオープンのコネクションを大量に生成し（始点アドレスを詐称するためSyn/Ackへの応答はない）、標的システムのコネクションキューを枯渇させる
Tiny Fragment Attack	微小なフラグメントを用いてTCPフラグを2個目のフラグメントに入れ、Synパケットのフィルタリングをくぐりぬけようとする
UDP Port Scan	UDPによるポートスキャン