[index] CentreCOM 9600/8600シリーズ コマンドリファレンス 2.2

ファイアウォール/概要・基本設定

対象機種：8624（AT-FL-02が必要）、9606（AT-FL-02が必要）

  - 基本設定
   - インターフェースと基本ルール
    - ICMPパケットの扱い
    - 本体インターフェース宛ての通信
  - ルールの追加
   - トラフィックを制限する
   - アクセスを許可する
   - インターフェースNAT
    - スタティックNAT
    - ダイナミックNAT
    - ダイナミックENAT
    - スタティックENAT
   - アクセスリストによるルール
   - ルールの時間制限
   - ルールの確認・修正・削除
   - ルールの処理順序
  - ファイアウォールの動作監視
   - ログ
   - イベント通知
   - トリガー
   - アカウンティング
   - デバッグオプション
   - セッションの確認
  - その他設定
  - 設定例

本製品には、IPトラフィックフローの開始・終了を認識し、これに応じて動的なパケットフィルタリングを行うステートフルインスペクション型のファイアウォールが搭載されています。ここでは、ファイアウォールの基本的な設定方法について説明します。

Note - ファイアウォール機能は、CPUによるソフトウェア処理で実現されています。そのため、通常のハードウェアルーティング使用時に比べてパフォーマンスが低下します。スループットを重視する場合は、ハードウェアIPフィルターのご使用をお勧めします。一方、ファイアウォールの利点としては、最小限の設定で安全性の高いフィルタリングを行えること、ハードウェアIPフィルターよりも柔軟な設定が可能なこと、パケットのログがとれること、重大イベント発生時の自動通知が可能なことなどが挙げられます。

Note - ファイアウォールとハードウェアIPフィルターを同時に使用することはできません。ファイアウォールとソフトウェアIPフィルターの併用は可能です。

基本設定

1. ファイアウォール機能を有効にします。
   
   ENABLE FIREWALL ↓
   
   
2. ファイアウォールポリシーを作成します。ポリシー名は自由につけられます。
   
   CREATE FIREWALL POLICY=mynet ↓
   
   
3. ファイアウォールポリシーの適用対象となるIPインターフェース（VLAN）を指定します。内部側（vlan-in）をPRIVATE、外部側（vlan-out）をPUBLICに設定します。
   
   ADD FIREWALL POLICY=mynet INT=vlan-in TYPE=PRIVATE ↓
ADD FIREWALL POLICY=mynet INT=vlan-out TYPE=PUBLIC ↓


• ICMPパケットがファイアウォールを通過できるようにします。基本ルールでは、ICMPパケットはどちらの方向にもまったく転送されません（内部からのPINGも通らないので注意してください）。
  
  ENABLE FIREWALL POLICY=mynet ICMP_F=PING,UNREACH ↓
  
  
• Identプロキシー機能をオフにして、外部メールサーバーなどとの通信がすばやく行われるようにします。
  
  DISABLE FIREWALL POLICY=mynet IDENTPROXY ↓
  
  
• 拒否したパケットのログをとりたい場合は、次のコマンドを実行します。
  
  ENABLE FIREWALL POLICY=mynet LOG=DENY ↓
  
  
• PUBLIC側をグローバルアドレス、PRIVATE側をプライベートアドレスで運用している場合は、ダイナミックENATを使うことによりPRIVATE側からPUBLIC側への通信が可能になります。
  
  ADD FIREWALL POLICY=mynet NAT=ENHANCED INT=vlan-in GBLINT=vlan-out ↓

インターフェースと基本ルール

• PRIVATE（内部）インターフェース：ファイアウォールで保護すべき内部ネットワーク側インターフェース。TYPE=PRIVATEでポリシーに追加されたインターフェースのこと
  
• PUBLIC（外部）インターフェース：ファイアウォールの外側に位置するインターフェース。TYPE=PUBLICでポリシーに追加されたインターフェースのこと
  
• その他のインターフェース：ファイアウォールの管理対象でないインターフェース
  

表 1：インターフェース間の通信可否（ICMPを除く）

送信元→宛先	PRIVATE	PUBLIC	その他
PRIVATE	○	○	×
PUBLIC	×	○	○
その他	×	○	○

• 拒否ルール：基本ルールでは素通しされるトラフィックを遮断する。通常PRIVATEインターフェースに設定する。
  
• 許可ルール：基本ルールでは遮断されるトラフィックを通過させる。通常PUBLICインターフェースに設定する。
  

Note - 「その他」インターフェースに独自ルールを設定することはできません。

ICMPパケットの扱い

表 2：ICMPの通信可否（転送オフ時）

送信元→宛先	PRIVATE	PUBLIC	その他
PRIVATE	○	×	×
PUBLIC	×	○	○
その他	×	○	○

表 3：ICMPの通信可否（転送オン時）

送信元→宛先	PRIVATE	PUBLIC	その他
PRIVATE	○	○	×
PUBLIC	○	○	○
その他	×	○	○

Note - ICMPの転送をオンにしても、PRIVATE・その他間では転送されません（PRIVATE・その他間では、ICMPも含め、いっさい通信ができません）。

Note - ICMPは双方向とも通すか、まったく通さないかの設定しかできません。ファイアウォールの独自ルールでもICMPパケットの通過・拒否は制御できませんので、片側からのみ通すような設定をしたい場合はソフトウェアIPフィルターを併用してください。

本体インターフェース宛ての通信

表 4：インターフェース配下から本体インターフェース宛ての通信可否

送信元→宛先I/F	PRIVATE	PUBLIC	その他
PRIVATE	○	○	×
PUBLIC	×	×	×
その他	×	○	○

Note - 「その他」インターフェース配下から本体に対してTelnetが可能な点にご注意ください。

ルールの追加

Note - ルールを追加するときは、RULEパラメーターで指定するルール番号が重ならないようにしてください。また、ルールのチェックは番号の小さい順に行われ、最初にマッチしたものが適用されるため、ルールの順序にも留意してください。

Note - ファイアウォールルールの設定ではコマンドラインが長くなりがちなので、適宜省略形を用いるようにしてください。以下の例でも省略形を使っています。

トラフィックを制限する

ADD FIREWALL POLICY=mynet RULE=1 AC=DENY INT=vlan-in PROT=UDP PORT=137-139 ↓
ADD FIREWALL POLICY=mynet RULE=2 AC=DENY INT=vlan-in PROT=TCP PORT=137-139 ↓


ADD FIREWALL POLICY=mynet RULE=1 AC=DENY INT=vlan-in PROT=ALL REMOTEIP=10.1.1.0-10.1.1.255 ↓

Note - デフォルトではICMPはファイアウォールを通過しません。ICMPの転送を有効にするには、ENABLE FIREWALL POLICYコマンドのICMP_FORWARDINGオプションを使う必要があります。

ADD FIREWALL POLICY=mynet RULE=1 AC=DENY INT=vlan-in PROT=ALL IP=192.168.10.5 ↓

表 5

パラメーター	指定する内容
ACTION	内部から外部への転送を拒否するためDENYを指定します。
INTERFACE	内部（PRIVATE）インターフェースを指定します。
PROTOCOL	対象となるプロトコルを指定します。TCP、UDPを指定した場合はPORTの指定も必要です。ALLを指定した場合はICMPを除くすべてのIPパケットが対象となります。また、プロトコル番号による指定も可能です。
REMOTEIP	終点IPアドレス。パケットの宛先となる外部ホストのIPアドレスです（範囲指定可）。省略時はすべての終点IPアドレスが対象となります。
PORT	終点ポート番号。パケットの宛先となる外部ホストのポート番号です（範囲指定可）。PROTOCOLにTCPかUDPを指定した場合にのみ必要です。
IP	始点IPアドレス。パケットの送信元となる内部ホストのIPアドレスです（範囲指定可）。省略時はすべての始点IPアドレスが対象となります。
SOURCEPORT	始点ポート番号。パケットの送信元となる内部ホストのポート番号です（範囲指定可）。PROTOCOLにTCPかUDPを指定した場合のみ有効。省略時はすべての始点ポートが対象となります。

アクセスを許可する

ADD FIREWALL POLICY=mynet RULE=1 AC=ALLOW INT=vlan-out PROT=ALL IP=172.16.10.10 ↓

Note - PROTOCOL=ALLはすべてのIPプロトコルの意味ですが、ICMPは含まれません。ICMPについては「PROTOCOL=ALL」を指定していたとしても、別途ICMPの転送を有効にしておかないとファイアウォールを通過できません。ICMPの転送を有効にするには、ENABLE FIREWALL POLICYコマンドのICMP_FORWARDINGオプションを使う必要があります。

ADD FIREWALL POLICY=mynet RULE=1 AC=ALLOW INT=vlan-out PROT=TCP IP=172.16.10.5 PORT=80 ↓

ADD FIREWALL POLICY=mynet RULE=1 AC=ALLOW INT=vlan-out PROT=ALL REMOTEIP=10.10.10.1 ↓

ADD FIREWALL POLICY=mynet RULE=1 AC=ALLOW INT=vlan-out-1 PROT=ALL GBLIP=172.16.10.2 IP=192.168.10.2 ↓


Note - この設定が機能するためには、あらかじめスタティックNATの設定が必要です。また、スタティックNATの設定だけでは、グローバル側からのパケットがファイアウォールの基本ルールで遮断されるため、前述のような許可ルールも必須です。なお、スタティックNATの設定は、グローバル側からのARPなどが絡むためかなり複雑です。詳細については後述する「スタティックNAT」をご覧ください。

ADD FIREWALL POLICY=mynet RULE=1 AC=ALLOW INT=vlan-out-1 PROT=TCP GBLIP=172.16.10.2 GBLPORT=80 IP=192.168.10.2 PORT=80 ↓


表 6：NATを使っていない場合

パラメーター	指定する内容
ACTION	外部から内部への転送を許可するためALLOWを指定します。
INTERFACE	外部（PUBLIC）インターフェースを指定します。
PROTOCOL	対象となるプロトコルを指定します。TCP、UDPを指定した場合はPORTの指定も必要です。ALLを指定した場合はICMPを除くすべてのIPパケットが対象となります。また、プロトコル番号による指定も可能です。
IP	終点IPアドレス。パケットの宛先となる内部ホストのIPアドレスです（範囲指定可）。省略時はすべての終点IPアドレスが対象となります。
PORT	終点ポート番号。パケットの宛先となる内部ホストのポート番号です（範囲指定可）。PROTOCOLにTCPかUDPを指定した場合にのみ必要です。
REMOTEIP	始点IPアドレス。パケットの送信元となる外部ホストのIPアドレスです（範囲指定可）。省略時はすべての始点IPアドレスが対象となります。
SOURCEPORT	始点ポート番号。パケットの送信元となる外部ホストのポート番号です（範囲指定可）。PROTOCOLにTCPかUDPを指定した場合のみ有効。省略時はすべての始点ポートが対象となります。

表 7：NATを使っている場合

パラメーター	指定する内容
ACTION	外部から内部への転送を許可するためALLOWを指定します。
INTERFACE	外部（PUBLIC）インターフェースを指定します。
PROTOCOL	対象となるプロトコルを指定します。TCP、UDPを指定した場合はGBLPORT、PORTの指定も必要です。ALLを指定した場合はICMPを除くすべてのIPパケットが対象となります。また、プロトコル番号による指定も可能です。
IP	転送後の終点IPアドレス。パケットの最終的な宛先となるプライベートアドレスで、内部ホストに実際に割り当てられているアドレスを示します。GBLIPで指定したグローバルアドレス（外から見た終点IPアドレス）に対応するアドレスを指定してください。
PORT	転送後の終点ポート番号。パケットの最終的な宛先となるポート番号で、内部ホストの実際のポート番号です。PROTOCOLにTCPかUDPを指定した場合にのみ必要です。GBLPORTで指定したグローバル側ポート番号（外から見た終点ポート）に対応するポート番号を指定してください。
GBLIP	転送前の終点グローバルIPアドレス。外部から見た場合の終点IPアドレスです。NAT変換後のプライベートアドレス（最終的な宛先アドレス）はIPパラメーターで指定します。
GBLPORT	転送前の終点グローバルポート番号。外部から見た場合の終点ポート番号です。NAT変換後のプライベートポート番号（最終的な宛先ポート）はPORTパラメーターで指定します。
REMOTEIP	始点IPアドレス。パケットの送信元となる外部ホストのIPアドレスです（範囲指定可）。省略時はすべての始点IPアドレスが対象となります。
SOURCEPORT	始点ポート番号。パケットの送信元となる外部ホストのポート番号です（範囲指定可）。PROTOCOLにTCPかUDPを指定した場合のみ有効。省略時はすべての始点ポートが対象となります。

インターフェースNAT

• スタティックNAT
  
• ダイナミックNAT
  
• ダイナミックENAT
  
• スタティックENAT
  

スタティックNAT

ADD FIREWALL POLICY=net NAT=STANDARD INT=内IF GBLINT=外IF IP=内IP GBLIP=外IP ↓


• パケットを「内IF」から「外IF」に転送したとき、始点IPアドレスが「内IP」であれば「外IP」に書き換えます。
  
  
• パケットを「外IF」で受信したとき、終点IPアドレスが「外IP」であれば「内IP」に書き換えます。
  

ADD FIREWALL POLICY=net RULE=1 AC=ALLOW INT=外IF IP=内IP GBLIP=外IP ↓


• ISPからアドレスブロック172.16.10.0/29（172.16.10.0〜172.16.10.7）を固定的に割り当てられています。アドレスは8個ですが、172.16.10.0（ネットワークアドレス）と172.16.10.7（ブロードキャストアドレス）は使用できないため、端末に設定できるアドレスは172.16.10.1〜172.16.10.6の6個となります。このうち、172.16.10.6はすでにルーターのLAN側（内側）インターフェースに割り当てられています。
  
  

  Note - これらのアドレスは実際にはプライベートアドレスですが、ここではグローバルアドレスであると仮定しています。

  
  
• ISPとはルーターによって接続されています。ルーターではアドレス変換やパケットフィルタリングを行わず、同ルーターのLAN側セグメントに接続したスイッチA（本製品）でファイアウォールを動作させ、ここでアクセス制御を行うものとします。
  
  
• スイッチAのWAN側（vlan-out）インターフェースには172.16.10.1を割り当てます。これで残るアドレスは172.16.10.2〜172.16.10.5の4個となります。これらのアドレスはサーバー用に使いますが、直接サーバーに割り当てることはせずに、スタティックNATを介して使用します。
  
  
• スイッチAのLAN側（vlan-in）インターフェースにはプライベートアドレス192.168.10.1を割り当て、クライアントはすべてプライベートアドレスで運用します。
  
  
• サーバーにもプライベートアドレスを設定し、スイッチAのLAN側セグメントに配置します。サーバーはルーター・スイッチAのあるセグメントに置くこともできますが、ファイアウォールで保護したいため、スイッチAの内側に配置しています。また、外部からアクセスさせるため、スタティックNATを使って外からはグローバルアドレスを持っているように見せかけます。変換ルールは次のとおりとします。
  
  
  • サーバー：192.168.10.2 → 172.16.10.2
    
  
  
• スイッチAのファイアウォールを利用して、外部からの不正アクセスを遮断しつつ、内部からは自由にインターネットへのアクセスができるようにします。
  
  
• ファイアウォールのダイナミックENAT機能を使用して、LAN側ネットワークのプライベートIPアドレスを、ISPから与えられたグローバルIPアドレスのうちの1つに変換します。これにより、LANに接続された複数のコンピューターからインターネットへの同時アクセスが可能になります。
  

1. VLANを作成します。
   
   CREATE VLAN=out VID=10 ↓
CREATE VLAN=in VID=20 ↓
ADD VLAN=out PORT=1 ↓
ADD VLAN=in PORT=2-12 ↓

   
   
2. IPモジュールを有効にします。
   
   ENABLE IP ↓
   
   
3. LAN側インターフェース（vlan-in）にプライベートIPアドレスを設定します。
   
   ADD IP INT=vlan-in IP=192.168.10.1 MASK=255.255.255.0 ↓
   
   
4. WAN側インターフェース（vlan-out）にISPから割り当てられたグローバルアドレスのうちの1つを設定します。
   
   ADD IP INT=vlan-out-0 IP=172.16.10.1 MASK=255.255.255.248 ↓
   
   

   Note - 「vlan-out-0」は「vlan-out」と同じ意味になります。

   
   
5. WAN側インターフェース（vlan-out）をマルチホーミングし、サーバー用のスタティックNATアドレスを32ビットマスクで設定します。これは、WAN側セグメント（vlan-out）における、サーバーへのARP要求（たとえば、ルーターから172.16.10.2に対するARP）に応答するために必要な設定です。ここでは、vlan-out-1インターフェースにNATアドレスを設定します。
   
   ADD IP INT=vlan-out-1 IP=172.16.10.2 MASK=255.255.255.255 ↓

   
   
6. デフォルトルートを設定します。
   
   ADD IP ROUTE=0.0.0.0 INT=vlan-out-0 NEXT=172.16.10.6 ↓
   
   
7. ファイアウォールポリシーを作成し、基本設定を行います。
   
   ENABLE FIREWALL ↓
CREATE FIREWALL POLICY=net ↓
ENABLE FIREWALL POLICY=net ICMP_F=PING,UNREACH ↓
DISABLE FIREWALL POLICY=net IDENTPROXY ↓

   
   
8. ファイアウォールポリシーの適用対象となるインターフェースを指定します。NAT用インターフェースも忘れずに追加してください。
   
   
   • LAN側（vlan-in）インターフェースをPRIVATE（内部）に設定します。
     
     ADD FIREWALL POLICY=net INT=vlan-in TYPE=PRIVATE ↓
     
     
   • WAN側（vlan-out-0）インターフェースをPUBLIC（外部）に設定します。
     
     ADD FIREWALL POLICY=net INT=vlan-out-0 TYPE=PUBLIC ↓
     
     
   • WAN側NAT用インターフェース（vlan-out-1）をPUBLIC（外部）に設定します。
     
     ADD FIREWALL POLICY=net INT=vlan-out-1 TYPE=PUBLIC ↓

   
   
9. 192.168.10.2→172.16.10.2のスタティックNATルールを設定します。この場合、スタティックNAT変換は、INT（vlan-in）で受信したパケットがGBLINT（vlan-out-1）側にルーティングされたときに行われます。このことが手順5に関係してきます。
   
   ADD FIREWALL POLICY=net NAT=STANDARD INT=vlan-in IP=192.168.10.2 GBLINT=vlan-out-1 GBLIP=172.16.10.2 ↓
   
   
10. LAN側（vlan-in）ネットワークに接続されているすべてのコンピューターがENAT機能を使用できるよう設定します。グローバルアドレスには、スイッチA自身のWAN側（vlan-out-0）インターフェースのIPアドレスを使用します。
    
    ADD FIREWALL POLICY=net NAT=ENHANCED INT=vlan-in GBLINT=vlan-out-0 ↓
    
    
11. 外部からのパケットをすべて拒否するファイアウォールの基本ルールに対し、サーバーへのパケットを通すための設定を行います。ここでは、172.16.10.2（192.168.10.2）宛てのパケットを通過させます。
    
    ADD FIREWALL POLICY=net RULE=1 AC=ALLOW INT=vlan-out-1 PROT=ALL GBLIP=172.16.10.2 IP=192.168.10.2 ↓
    
    なお、172.16.10.2の特定ポートだけに通信を限定させたい場合は、PROTOCOLパラメーターでプロトコルを指定し、GBLPORTパラメーターでグローバル側ポート番号を、PORTパラメーターでプライベート側ポート番号を指定します。次の例ではHTTPだけを許可しています。
    
    ADD FIREWALL POLICY=net RULE=1 AC=ALLOW INT=vlan-out-1 PROT=TCP GBLIP=172.16.10.2 GBLPO=HTTP IP=192.168.10.2 PO=HTTP ↓
    
    

    Note - これらのルールを設定しないと、ファイアウォールの基本ルールにより、172.16.10.2宛てのパケットがvlan-out-1インターフェースで破棄されてしまいます。

    
    
12. LAN側サーバー（192.168.10.2）からのパケットが、スタティックNATインターフェース（vlan-out-1）にルーティングされるよう、ポリシーフィルター「100」を設定します。ポリシーフィルターのフィルター番号は100〜199です。
    
    ADD IP FILTER=100 SOURCE=192.168.10.2 SMASK=255.255.255.255 POLICY=1 ↓

    
    
13. ポリシーフィルター「100」をLAN側（vlan-in）インターフェースに適用します。
    
    SET IP INT=vlan-in POLICYFILTER=100 ↓

    
    
14. ポリシーフィルターによって設定された経路選択ポリシーに基づいてルーティングが行われるよう、デフォルトルートの経路エントリーを追加します。
    
    
    • 経路選択ポリシー「1」を持つパケット（サーバーからのパケット）のデフォルトルートをvlan-out-1に向けます。これにより、サーバー（192.168.10.2）からのパケットはvlan-out-1に転送され、同インターフェースをGBLINTとするスタティックNATルールが適用されます。
      
      ADD IP ROUTE=0.0.0.0 INT=vlan-out-1 NEXTHOP=172.16.10.6 POLICY=1 ↓

      
      
    • サーバー以外のホストからのパケットはポリシー「0」として扱われるため、デフォルトルート宛てのパケットはvlan-out-0に転送され、同インターフェースをGBLINTとするダイナミックENATルールが適用されます。
      
    
    

    Note - ポリシーフィルターの設定を行わないと、サーバー側から通信を開始したときにパケットがvlan-out-0に転送されるため、ダイナミックENATが適用されてしまいます。WAN側からサーバーに対して通信を開始した場合は、スタティックNATルールのとおりに変換されます。ポリシーフィルターは、サーバー側から通信を開始した場合にも、スタティックNATが有効に働くようにするためのものです。サーバー側からの通信にダイナミックENATが適用されても問題ないときは、ポリシーフィルターの設定は不要です。

    
    設定は以上です。
    

ダイナミックNAT

Note - ダイナミックNATは、他のNATに比べてメリットが少ないためあまり使われません。

ADD FIREWALL POLICY=net NAT=STANDARD INT=内IF GBLINT=外IF GBLIP=外IP範囲


• パケットを「内IF」から「外IF」に転送したとき、始点IPアドレスを「外IP範囲」内の空いているアドレスに書き換えます。また、変換前後のアドレスの組み合わせ（内IP・外IP）をテーブルに登録します。
  
  
• パケットを「外IF」で受信したとき、終点IPアドレスが「外IP範囲」内であれば、テーブルを検索し、終点IPアドレスを「内IP」に書き換えます。
  

ADD IP ROUTE=1.1.1.2 MASK=255.255.255.255 INT=vlan-in NEXT=0.0.0.0 PREF=0 ↓
ADD IP ROUTE=1.1.1.3 MASK=255.255.255.255 INT=vlan-in NEXT=0.0.0.0 PREF=0 ↓
ADD IP ROUTE=1.1.1.4 MASK=255.255.255.255 INT=vlan-in NEXT=0.0.0.0 PREF=0 ↓


Note - この方法（「外IP」へのスタティック経路を登録する方法）は、グローバル側からの通信開始を前提とするスタティックNATのときには使えません。スタティックNATのときは、前節のとおりマルチホーミングとポリシーフィルターを併用してください。

ダイナミックENAT

ADD FIREWALL POLICY=net NAT=ENHANCED INT=内IF GBLINT=外IF


• パケットを「内IF」から「外IF」に転送したとき、始点IPアドレスを「外IF」のアドレスに、始点ポートを未使用のポート番号に書き換えます。また、変換前後のアドレス・ポートの組み合わせ（内IP・内ポート・外IP・外ポート）をテーブルに登録します。
  
  
• パケットを「外IF」で受信したとき、終点IPアドレスが「外IF」のアドレスであれば、終点ポートをキーにテーブルを検索し、終点IPアドレスを「内IP」に、終点ポートを「内ポート」に書き換えます。
  

ADD FIREWALL POLICY=mynet NAT=ENHANCED INT=vlan-in GBLINT=vlan-out ↓

スタティックENAT

ADD FIREWALL POLICY=net NAT=ENHANCED INT=内IF GBLINT=外IF ↓


ADD FIREWALL POLICY=net RULE=1 AC=ALLOW INT=外IF PROT=プロトコル GBLIP=外IP GBLPORT=外ポート IP=内IP PORT=内ポート ↓


• パケットを「外IF」で受信したとき、プロトコルが「プロトコル」で、終点IPアドレスが「外IP」、終点ポートが「外ポート」であれば、それぞれ「内IP」「内ポート」に書き換えます。
  

Note - スタティックENATの設定はADD FIREWALL POLICY RULEコマンドで行います。

Note - スタティックENAT単独では使用できません。必ずダイナミックENATと組み合わせて設定してください。

1. ポート転送機能はENATを使用していることが前提となります。ここでは、PRIVATEインターフェース側の全ホストが、PUBLICインターフェースに割り当てられたグローバルアドレスを使って外部と通信できるように設定します。
   
   
   ADD FIREWALL POLICY=mynet NAT=ENHANCED INT=vlan-in GBLINT=vlan-out ↓
   
   
2. ポート転送のためのルールを追加します。
   
   ADD FIRE POLI=mynet RU=1 AC=ALLOW INT=vlan-out PROT=TCP GBLIP=172.16.10.1 GBLPO=80 IP=192.168.10.5 PORT=80 ↓
   
   このコマンドは、「vlan-outのインターフェースで受信したTCPパケットのうち、終点IPアドレスが172.16.10.1で終点ポートが80のものを、アドレス変換してホスト192.168.10.5の80番ポートに転送する」の意味になります。また、内部サーバーからの戻りパケットは、逆向きのアドレス変換（プライベート→グローバル）を施した上で送信元に送り返されます。
   

ADD FIRE POLI=mynet RU=1 AC=ALLOW INT=vlan-out PROT=TCP GBLIP=172.16.10.1 GBLPO=80 IP=192.168.10.5 PORT=80 ↓
ADD FIRE POLI=mynet RU=2 AC=ALLOW INT=vlan-out PROT=TCP GBLIP=172.16.10.1 GBLPO=8080 IP=192.168.10.10 PORT=80 ↓


http://172.16.10.1:8080/ ... （実際は192.168.10.10のWebサーバーにアクセスすることになる）

http://172.16.10.1/ ... （実際は192.168.10.5のWebサーバーにアクセスすることになる）

ADD FIRE POLI=mynet RU=1 AC=ALLOW INT=vlan-out PROTO=41 REMOTEIP=10.12.34.56 GBLIP=172.16.10.1 IP=192.168.10.5 ↓

表 8

パラメーター	指定する内容
ACTION	外部から内部への転送を許可するので常にALLOWとなります。
INTERFACE	外部（PUBLIC）インターフェースを指定します。
PROTOCOL	転送するプロトコルを指定します。通常はTCPかUDPです。その場合、GBLPORTとPORTの指定も必要です。また、プロトコル番号による指定も可能です。ただし、スタティックENATでは外部から内部にICMPを転送することはできません。
GBLIP	転送前の終点IPアドレス。外部インターフェースに割り当てられたグローバルIPアドレスを指定します。DHCPなどで動的にアドレスを取得している場合は0.0.0.0を指定します。
GBLPORT	転送前の終点ポート番号。PROTOCOLにTCPかUDPを指定した場合にのみ必要です。
IP	転送後の終点IPアドレス。転送先ホストのプライベートIPアドレスです。
PORT	転送後の終点ポート番号。転送先のポート番号です。PROTOCOLにTCPかUDPを指定した場合にのみ必要です。
REMOTEIP	始点IPアドレス。外部の送信者のIPアドレスです（範囲指定可）。省略時はすべての始点IPアドレスが対象になります。
SOURCEPORT	始点ポート番号。外部の送信者のポート番号です（範囲指定可）。PROTOCOLにTCPかUDPを指定した場合のみ有効。省略時はすべての始点ポートが対象となります。

アクセスリストによるルール

1. 最初に、アクセスさせたくないアドレスの一覧を作成します。EDITコマンド等を用いて次のようなテキストファイルを作成してください。ここではファイル名を「denylist.txt」とします。
   
   

   # Access-list "denylist.txt" # HOST or NETWORK NICKNAME 10.30.1.23 172.25.150.150 henna-server 172.30.100.0 - 172.30.100.255 henna-network # comment

   
   リストファイルには、一行に一個アドレスを書きます。アドレスには次の2 つの形式があります。
   
   
   • 単一アドレス（例：192.168.1.5）
     
   • アドレス範囲（例：192.168.1.0 - 192.168.1.255。2つのIPアドレスをハイフンで区切ったもの（ハイフンの前後にスペースが必要なので注意してください）
     
   
   また例のように、アドレスの後に簡単な説明を入れることもできます。説明文字列はSHOW FIREWALL POLICYコマンドでアクセスリストの内容を見るときに表示されます。#（シャープ）以降はコメントです。
   
   
2. 次にアクセスリストをポリシーに登録します。これ以降、アクセスリストを参照するときはファイル名でなくLISTパラメーターで指定した名前（ここでは「denyto」）を使います。
   
   
   ADD FIREWALL POLICY=mynet LIST=denyto FILE=denylist.txt TYPE=IP ↓
   
   
3. 最後にアクセスリストを用いて拒否ルールを追加します。この例では、VLAN「inside」からアクセスリスト「denyto」に記載されているアドレスへのIP通信をすべて拒否しています。
   
   
   ADD FIREWALL POLICY=mynet RULE=1 ACTION=DENY INT=vlan-inside PROTO=ALL LIST=denyto ↓
   
   アクセスリスト内のIPアドレスは通信の向きによって次のように解釈されます。
   
   
   • 外向き通信（PRIVATE→PUBLIC）の場合：終点アドレス。リスト中のアドレスへのアクセスを禁止または許可する。
     
   • 内向き通信（PUBLIC→PRIVATE）の場合：始点アドレス。リスト中のアドレスからのアクセスを禁止または許可する。
     

ADD FIREWALL POLICY=mynet RULE=1 ACTION=DENY INT=vlan-inside PROTO=ALL REMOTEIP=10.30.1.23 ↓
ADD FIREWALL POLICY=mynet RULE=2 ACTION=DENY INT=vlan-inside PROTO=ALL REMOTEIP=172.25.150.150 ↓
ADD FIREWALL POLICY=mynet RULE=3 ACTION=DENY INT=vlan-inside PROTO=ALL REMOTEIP=172.30.100.0-172.30.100.255 ↓


ルールの時間制限

ADD FIRE POLI=mynet RU=1 AC=ALLOW INT=vlan-out PROT=TCP IP=172.16.10.5 PORT=80 DAYS=WEEKDAY AFT=9:00 BEF=20:00 ↓

ルールの確認・修正・削除

ルールの処理順序

1. 新しく開始されたセッションまたはフロー（以下、フローとします）の向きによって、マッチするルールがなかったときのデフォルトの動作が決定されます。PRIVATEインターフェース側から開始されたフローはデフォルト許可、PUBLIC側から開始されたフローはデフォルト拒否となります。以後、番号の小さいものから順にルールがチェックされていきます。ひとつもマッチするルールがなかった場合は、最初に決めたデフォルトの動作を行います。
   
   
2. 新規フローのプロトコルタイプ（PROTOCOL）と一致するルールがないかチェックします。プロトコルが一致するルールがなかった場合、デフォルトの動作を実行します。
   
   
3. プロトコルがTCPかUDPの場合、終点ポート（PORT）をチェックします。一致するルールがなかった場合はデフォルトの動作を実行します。
   
   
4. プロトコルがTCPかUDPの場合、始点ポート（SOURCEPORT）をチェックします。一致するルールがなかった場合はデフォルトの動作を実行します。
   
   
5. リモートIPアドレス（REMOTEIP）をチェックします。PRIVATE側からのフローでは終点IPアドレス、PUBLIC側からのフローでは始点IPアドレスです。一致するルールがなかった場合はデフォルトの動作を実行します。
   
   
6. ローカルIPアドレス（IPまたはGBLIP）をチェックします。PRIVATE側からのフローでは始点IPアドレス、PUBLIC側からのフローでは終点IPアドレスです。終点IPアドレスは、NATを使用している場合はPUBLIC側の送信元ホストから見えるグローバルIPアドレス（GBLIP）、NATを使用していない場合はPRIVATE側ホストのIPアドレス（IP）になります。
   
   
7. IPアドレスが一致した場合は、時刻をチェックします。現在時刻がルールが有効でない時間帯ならば、該当ルールにはマッチしません。
   
   
8. Ethernetインターフェースに適用されたルールでハードウェア（MACアドレス）リストが指定されている場合、新規フローの送信元MACアドレスに一致するアドレスがリストに記載されているかどうかをチェックします。一致するアドレスがなかった場合はデフォルトの動作を実行します。
   
   
9. ルールでIPリストが指定されている場合、PRIVATE側からのフローでは終点IPアドレスが、PUBLIC側からのフローでは始点IPアドレスをチェックします。IPリストが設定されていない場合、ルールのアクションがALLOWならば、この時点で新規フローは通過を許可されます。アクションがDENYならば破棄されます。同様に、IPリストにマッチするアドレスが掲載されていた場合も、アクションがALLOWなら許可、DENYなら破棄します。
   
   
10. IPリストにマッチするアドレスがない場合は、アクションがALLOWなら新規フローは破棄されます。アクションがDENYならば、PRIVATE側から開始されたフローは許可され、それ以外の場合はデフォルトの動作を実行します。
    

ファイアウォールの動作監視

ログ

ENABLE FIREWALL POLICY=mynet LOG=DENY ↓

表 9：ファイアウォールのログオプション一覧

オプション名	対象パケット
INATCP	外部（PUBLIC側）からのTCPセッション開始を許可
INAUDP	外部からのUDPフロー開始を許可
INAICMP	外部からのICMP要求を許可
INAOTHER	外部からのIPフロー開始（TCP、UDP、ICMP以外）を許可
INALLOW	外部からのセッション/フロー開始を許可。INATCP、INAUDP、INAICMP、INAOTHERをすべて指定したのに等しい。
OUTATCP	内部（PRIVATE側）からのTCPセッション開始を許可
OUTAUDP	内部からのUDPフロー開始を許可
OUTAICMP	内部からのICMP要求を許可
OUTAOTHER	内部からのIPフロー開始（TCP、UDP、ICMP以外）を許可
OUTALLOW	内部からのセッション/フロー開始を許可。OUTATCP、OUTAUDP、OUTAICMP、OUTAOTHERをすべて指定したのと等しい。
ALLOW	内外からのセッション/フロー開始を許可
INDTCP	外部からのTCPセッション開始を遮断
INDUDP	外部からのUDPフロー開始を遮断
INDICMP	外部からのICMP要求を遮断
INDOTHER	外部からのIPフロー開始（TCP、UDP、ICMP以外）を遮断
INDENY	外部からのセッション/フロー開始を遮断。INDTCP、INDUDP、INDICMP、INDOTHERをすべて指定したのに等しい。
OUTDTCP	内部からのTCPセッション開始を遮断
OUTDUDP	内部からのUDPフロー開始を遮断
OUTDICMP	内部からのICMP要求を遮断
OUTDOTHER	内部からのIPフロー開始（TCP、UDP、ICMP以外）を遮断
OUTDENY	内部からのセッション/フロー開始を遮断。OUTDTCP、OUTDUDP、OUTDICMP、OUTDOTHERをすべて指定したのに等しい。
DENY	内外からのセッション/フロー開始を遮断
INDDTCP	外部からのTCPセッション開始を遮断し、IPパケットの先頭最大192バイトを記録
INDDUDP	外部からのUDPフロー開始を遮断し、IPパケットの先頭最大192バイトを記録
INDDICMP	外部からのICMP要求を遮断し、IPパケットの先頭最大192バイトを記録
INDDOTHER	外部からのIPフロー開始（TCP、UDP、ICMP以外）を遮断し、IPパケットの先頭最大192バイトを記録
INDDUMP	外部からのセッション/フロー開始を遮断し、IPパケットの先頭最大192バイトを記録
OUTDDTCP	内部からのTCPセッション開始を遮断し、IPパケットの先頭最大192バイトを記録
OUTDDUDP	内部からのUDPフロー開始を遮断し、IPパケットの先頭最大192バイトを記録
OUTDDICMP	内部からのICMP要求を遮断し、IPパケットの先頭最大192バイトを記録
OUTDDOTHER	内部からのIPフロー開始（TCP、UDP、ICMP以外）を遮断し、IPパケットの先頭最大192バイトを記録
OUTDDUMP	内部からのセッション/フロー開始を遮断し、IPパケットの先頭最大192バイトを記録
DENYDUMP	内外からのセッション/フロー開始を遮断し、IPパケットの先頭最大192バイトを記録

SHOW LOG MODULE=FIRE ↓

SHOW LOG TYPE=FIRE ↓

SHOW LOG MODULE=FIRE TAIL（最新の20メッセージを表示） ↓
SHOW LOG MODULE=FIRE TAIL=10（同10メッセージを表示） ↓


Manager > show log module=fire Date/Time S Mod Type SType Message ------------------------------------------------------------------------------- 28 10:39:45 4 FIRE FIRE INDIC ICMP - Source 172.16.28.32 Dest 172.16.28.255 Type 9 Code 0 28 10:39:45 4 FIRE FIRE INDIC bad ICMP message type to pass 28 10:40:05 4 FIRE FIRE INDUD UDP - Source 172.16.28.120:137 Dest 172.16.28.255:137 28 10:40:05 4 FIRE FIRE INDUD flow rejected by policy rule 28 10:40:06 4 FIRE FIRE INDUD UDP - Source 172.16.28.120:137 Dest 172.16.28.255:137 28 10:40:06 4 FIRE FIRE INDUD flow rejected by policy rule 28 10:40:41 3 FIRE FIRE OUTDT TCP - Source 192.168.10.1:1045 Dest 172.16.28.1:139 28 10:40:41 3 FIRE FIRE OUTDT flow rejected by policy rule -------------------------------------------------------------------------------

ADD LOG OUTPUT=TEMPORARY MODULE=FIRE ↓


イベント通知

• MANAGER：Manager権限でログインしているすべての端末画面にメッセージを出力
  
• SNMP：あらかじめ設定しておいたトラップホストにSNMPトラップを送信
  
• MAIL：あらかじめ指定しておいたメールアドレスにメールを送信
  
• PORT：非同期ポートにメッセージを出力
  

SET MAIL HOSTNAME=c8624.mydomain.com ↓
SET IP NAMESERVER=192.168.10.5 ↓


ENABLE FIREWALL NOTIFY=MAIL TO=admin@mydomain.com ↓

Subject: Firewall message From: manager@c8624.mydomain.com To: <admin@mydomain.com> Date: Sun, 22 Jul 2001 13:33:19 +0900 22-Jul-2001 13:33:19 SYN attack from 1xx.xx.12.xxx is underway

Note - メール通知を有効にするには、あらかじめメール送信のための基本設定（自ホスト名、DNSサーバーの設定）が必要です。詳細は「メール送信」をご覧ください。

ENABLE SNMP ↓
CREATE SNMP COMMUNITY=public MANAGER=192.168.10.5 TRAPHOST=192.168.10.5 ↓
ENABLE SNMP COMMUNITY=public TRAP ↓


ENABLE FIREWALL NOTIFY=SNMP ↓

172.16.10.1: Enterprise Specific Trap (1) Uptime: 2:19:50 enterprises.207.8.4.4.4.77.1.0 = OCTET STRING: "22-Jul-2001 14:15:47.. Port scan from 12.xx.xx.xx is underway"

Note - SNMPトラップによる通知を有効にするには、あらかじめSNMPの基本設定（SNMPモジュールの有効化、コミュニティーの作成、マネージャー/トラップホストの指定、トラップの有効化）が必要です。詳細は「SNMP」をご覧ください。

DISABLE FIREWALL NOTIFY=MAIL ↓

SHOW FIREWALL EVENT ↓

• 通知（Notify）イベント：攻撃の開始や終了。攻撃の種類については別表を参照
  
• 拒否（Deny）イベント：ファイアウォールで拒否されたパケット
  
• 許可（Allow）イベント：ファイアウォールの通過を許可されたパケット
  

SHOW FIREWALL EVENT=NOTIFY ↓

表 10：攻撃一覧

攻撃名称	説明
DoS Flood	不要なトラフィックで帯域を占有し、ネットワークサービスを妨害する
Fragment Attack	巨大なフラグメントや再構成できないフラグメントを送りつける
Host Scan	内部ネットワークで稼動中のホストを調べる
IP Spoofing	送信元IPアドレスを詐称する
Land Attack	始点と終点に同じアドレスを設定したIPパケットによるDOS攻撃。システムのバグを狙う
Ping of Death	システムのバグをつくもので、特定サイズのPINGパケットを送りつけることによりシステムをクラッシュさせる
Port Scan	ホスト上で稼動中のサービスを調べる
Smurf Attack	始点アドレスを詐称（標的のアドレスを設定する）したPINGパケットを中継サイトのディレクディドブロードキャストアドレスに送り、中継サイトから標的サイトに大量のリプライを送りつけさせる
Syn Attack	TCPのSynパケットを断続的に送りつけ、ハーフオープンのコネクションを大量に生成し（始点アドレスを詐称するためSyn/Ackへの応答はない）、標的システムのコネクションキューを枯渇させる
Tiny Fragment Attack	微小なフラグメントを用いてTCPフラグを2個目のフラグメントに入れ、Synパケットのフィルタリングをくぐりぬけようとする
UDP Port Scan	UDPによるポートスキャン

トリガー

ENABLE TRIGGER ↓
CREATE TRIGGER=1 FIREWALL=PORTSCAN MODE=START SCRIPT=pscans.scp ↓


MAIL TO=admin@mydomain.com SUBJECT="Portscan from %2 started (Policy $1)"

Subject: Portscan from 199.xx.xx.180 started (Policy mynet) From: manager@c8624.mydomain.com To: <admin@mydomain.com> Date: Sun, 22 Jul 2001 14:37:21 +0900

Note - メール機能を使用するためには、あらかじめメール送信のための基本設定（自ホスト名、DNSサーバーの設定）が必要です。詳細は「メール送信」をご覧ください。

アカウンティング

ENABLE FIREWALL POLICY=mynet ACCOUNTING ↓

Manager > show firewall accounting Policy : mynet Date/Time Event Dir Prot IP:Port <-> Dest IP:Port /Traffic statistics ------------------------------------------------------------------------------- 22 14:42:17 END OUT UDP 172.16.28.160:2060 172.16.28.1:53 Traffic out 1:66 in 1:118 22 14:42:17 END OUT TCP 172.16.28.160:36399 172.16.48.16:25 Traffic out 13:846 in 12:967 22 14:44:33 START OUT UDP 192.168.10.5:65406 172.16.28.1:53 22 14:44:33 END OUT ICMP 192.168.10.5 172.16.28.1 Traffic out 1:84 in 1:84 22 14:44:34 END OUT ICMP 192.168.10.5 172.16.28.1 Traffic out 1:84 in 1:84 22 14:44:35 END OUT ICMP 192.168.10.5 172.16.28.1 Traffic out 1:84 in 1:84 22 14:44:36 END OUT ICMP 192.168.10.5 172.16.28.1 Traffic out 1:84 in 1:84 22 14:47:16 START OUT TCP 192.168.10.50:1031 172.16.28.5:80 22 14:47:17 START OUT TCP 192.168.10.50:1032 172.16.28.5:80 22 14:47:44 END IN ICMP 172.16.28.180 172.16.28.160 Traffic out 1:28 in 1:28 -------------------------------------------------------------------------------

SHOW LOG TYPE=ACCO ↓

Manager > show log type=acco Date/Time S Mod Type SType Message ------------------------------------------------------------------------------- 22 14:42:18 3 FIRE ACCO END UDP 172.16.28.160:2060 172.16.28.1:53 Flow terminated 22 14:42:18 3 FIRE ACCO END Flow traffic out 1:66 in 1:118 22 14:42:18 3 FIRE ACCO END TCP 172.16.28.160:36399 172.16.48.16:25 Flow terminated 22 14:42:18 3 FIRE ACCO END Flow traffic out 13:846 in 12:967 22 14:44:33 3 FIRE ACCO START UDP 192.168.10.5:65406 172.16.28.1:53 Flow started 22 14:44:33 3 FIRE ACCO END ICMP 192.168.10.5 172.16.28.1 Flow terminated 22 14:44:33 3 FIRE ACCO END Flow traffic out 1:84 in 1:84 22 14:44:34 3 FIRE ACCO END ICMP 192.168.10.5 172.16.28.1 Flow terminated 22 14:44:34 3 FIRE ACCO END Flow traffic out 1:84 in 1:84 22 14:44:35 3 FIRE ACCO END ICMP 192.168.10.5 172.16.28.1 Flow terminated 22 14:44:35 3 FIRE ACCO END Flow traffic out 1:84 in 1:84 22 14:44:36 3 FIRE ACCO END ICMP 192.168.10.5 172.16.28.1 Flow terminated 22 14:44:36 3 FIRE ACCO END Flow traffic out 1:84 in 1:84 22 14:47:15 3 FIRE ACCO START TCP 192.168.10.50:1031 172.16.28.5:80 Flow started 22 14:47:16 3 FIRE ACCO START TCP 192.168.10.50:1032 172.16.28.5:80 Flow started 22 14:47:44 3 FIRE ACCO END ICMP 172.16.28.180 172.16.28.160 Flow terminated 22 14:47:44 3 FIRE ACCO END Flow traffic out 1:28 in 1:28 22 14:49:35 3 FIRE ACCO END UDP 192.168.10.5:65406 172.16.28.1:53 Flow terminated 22 14:49:35 3 FIRE ACCO END Flow traffic out 1:70 in 1:190 -------------------------------------------------------------------------------

デバッグオプション

ENABLE FIREWALL POLICY=mynet DEBUG=PKT ↓

Manager > FIRE ICMP 45000024 c6070000 01018e04 ac101c20 ac101cff 0900421e 01020168 96571c20 00000000 Manager > FIRE TCP 4500003c c87c4000 40060c3d ac101cb4 ac101ca0 05e70017 3398573f 00000000 a0027d78 19d20000 020405b4 0402080a 0d82ac62 00000000

ENABLE FIREWALL POLICY=mynet DEBUG=PROCESS ↓

FIRE UDP 4500004d 218a0000 4011dc10 c0a80a05 ac101c01 ff780035 00393422 067f0100 00010000 00000000 076f6374 6f766572 0274770e 616c6c69 FIREWALL new flow - UDP - session ID 8b2e FIREWALL packet sent to UDP handler FIREWALL flow 8b2e found for packet FIREWALL packet sent to UDP handler FIREWALL packet passed - UDP OUT - passed by rule 0 FIRE UDP 4500004d 218b0000 4011dc0f c0a80a05 ac101c01 ff770035 00394f22 06800100 00010000 00000000 076f6374 6f766572 0274770e 616c6c69 FIREWALL new flow - UDP - session ID 9a14 FIREWALL packet sent to UDP handler FIREWALL flow 9a14 found for packet FIREWALL packet sent to UDP handler FIREWALL packet passed - TCP OUT - passed by rule 0 FIRE TCP 4500003c 218c0000 4006db77 c0a80a05 ac101cb4 e2360017 d71d5199 00000000 a0024000 1d930000 020405b4 01030300 0101080a 000064b7 FIREWALL new flow - TCP - session ID a9c5 FIREWALL packet sent to TCP handler FIREWALL flow a9c5 found for packet FIREWALL packet sent to TCP handler direction IN FIREWALL flow a9c5 found for packet FIREWALL packet sent to TCP handler direction OUT FIREWALL flow a9c5 found for packet FIREWALL packet sent to TCP handler direction OUT FIREWALL flow a9c5 found for packet FIREWALL packet sent to TCP handler direction IN FIREWALL flow a9c5 found for packet FIREWALL packet sent to TCP handler direction IN

DISABLE FIREWALL POLICY=mynet DEBUG=PKT ↓

セッションの確認

Manager > show firewall session Policy : mynet Current Sessions ------------------------------------------------------------------------------- 13d0 TCP 192.168.10.5:57909 172.16.28.160:5072 172.16.28.180:23 TCP state ............................ closed Start time ........................... 15:14:19 22-Jul-2001 Seconds to deletion .................. 294 1f8c TCP 192.168.10.50:1033 172.16.28.160:8076 172.16.28.5:80 TCP state ............................ established Start time ........................... 15:14:38 22-Jul-2001 Seconds to deletion .................. 3552 25df UDP 192.168.10.5:123 172.16.28.160:9695 172.16.48.48:123 Start time ........................... 12:17:44 22-Jul-2001 Seconds to deletion .................. 1194 e4d4 UDP 192.168.10.5:65396 172.16.28.160:58580 172.16.28.1:53 Start time ........................... 15:14:19 22-Jul-2001 Seconds to deletion .................. 234 -------------------------------------------------------------------------------

Manager > show firewall session counter Policy : mynet Current Sessions ------------------------------------------------------------------------------- 13d0 TCP 192.168.10.5:57909 172.16.28.160:5072 172.16.28.180:23 Packets from private IP .............. 11 Octets from private IP ............... 660 Packets to private IP ................ 13 Octets to private IP ................. 852 TCP state ............................ closed Start time ........................... 15:14:19 22-Jul-2001 Seconds to deletion .................. 288 1f8c TCP 192.168.10.50:1033 172.16.28.160:8076 172.16.28.5:80 Packets from private IP .............. 21 Octets from private IP ............... 1383 Packets to private IP ................ 32 Octets to private IP ................. 44126 TCP state ............................ established Start time ........................... 15:14:38 22-Jul-2001 Seconds to deletion .................. 3546 25df UDP 192.168.10.5:123 172.16.28.160:9695 172.16.48.48:123 Packets from private IP .............. 69 Octets from private IP ............... 5244 Packets to private IP ................ 68 Octets to private IP ................. 5168 Start time ........................... 12:17:44 22-Jul-2001 Seconds to deletion .................. 1188 e4d4 UDP 192.168.10.5:65396 172.16.28.160:58580 172.16.28.1:53 Packets from private IP .............. 1 Octets from private IP ............... 77 Packets to private IP ................ 1 Octets to private IP ................. 170 Start time ........................... 15:14:19 22-Jul-2001 Seconds to deletion .................. 228 -------------------------------------------------------------------------------

DELETE FIREWALL SESSION=2826 ↓

その他設定

ENABLE FIREWALL POLICY=mynet ICMP_F=PING,UNREACH ↓

Note - ICMP Destination Unreachableメッセージ（ICMPタイプ3）は、IPホストが通信経路上の最大パケットサイズ（Path MTU）を知る目的で使用することがあります。そのため、本メッセージを遮断すると、一部のサイトにアクセスできなくなる可能性があります。

ADD IP FILTER=0 SO=0.0.0.0 PROTO=ICMP ICMPTYPE=ECHO ACTION=EXCLUDE ↓
ADD IP FILTER=0 SO=0.0.0.0 ACTION=INCLUDE ↓
SET IP INT=vlan-out FILTER=0 ↓


DISABLE FIREWALL POLICY=mynet ICMP_FORWARDING=PING ↓

DISABLE FIREWALL POLICY=mynet PING ↓

DISABLE FIREWALL POLICY=mynet IDENTPROXY ↓

設定例

• ICMPはPing(echo/echo reply)とUnreachableのみ双方向とも許可。
  
• UDPは双方向とも禁止。ただし、UDPのDNSサービス（53）のみ双方向とも許可する。
  
• TCPは内部から外部へのみコネクションを張ることができる。ただし、以下は例外とする。
  
  • 内部のDNSサーバー（192.168.10.5）のDNSサービス（53）には外部からTCPのコネクションを張れる。
    
  • 内部のメールサーバー（192.168.10.5）のSMTPサービス（25）には外部からTCPのコネクションを張れる 。
    
  • 内部のWebサーバー（192.168.10.5）のHTTPサービス（80）には外部からTCPのコネクションを張れる。ただし、時間を朝10:00〜夜21:00に限定する。
    
• vlan-whiteをPRIVATE、vlan-greyをPUBLICインターフェースとして設定する。
  
• ファイアウォールでブロックしたパケットをログに記録する。
  
• ポートスキャンなどの不正行為を受けた場合は、SNMPトラップでマネージャーステーション（192.168.10.100）に通知する。
  

1. VLANの設定を行います。
   
   CREATE VLAN=white VID=10 ↓
CREATE VLAN=grey VID=100 ↓
ADD VLAN=white PORT=1-23 ↓
ADD VLAN=grey PORT=24 ↓

   
   
2. IPモジュールを有効にします。
   
   ENABLE IP ↓
   
   
3. VLANインターフェースにIPアドレスを設定します。
   
   ADD IP INT=vlan-white IP=192.168.10.1 MASK=255.255.255.0 ↓
ADD IP INT=vlan-grey IP=192.168.100.1 MASK=255.255.255.0 ↓

   
   
4. デフォルトルートを設定します。
   
   ADD IP ROUTE=0.0.0.0 MASK=0.0.0.0 INT=vlan-grey NEXT=192.168.100.254 ↓
   
   
5. ファイアウォールを有効にします。
   
   ENABLE FIREWALL ↓
   
   
6. ファイアウォールポリシーを作成します。
   
   CREATE FIREWALL POLICY=mypol ↓
   
   
7. ファイアウォールで拒否したパケットをログに記録するよう設定します。
   
   ENABLE FIREWALL POLICY=mypol LOG=DENY ↓
   
   
8. identプロキシー機能を無効にし、外部からのident要求に対してただちにRSTを返すようにします。
   
   DISABLE FIREWALL POLICY=mypol IDENTPROXY ↓
   
   
9. ファイアウォールポリシーの適用対象となるインターフェースを指定します。
   
   • vlan-whiteをPRIVATE（内部）インターフェースに設定します。
     
     ADD FIREWALL POLICY=mypol INT=vlan-white TYPE=PRIVATE ↓
     
     
   • vlan-greyをPUBLIC（外部）インターフェースに設定します。
     
     ADD FIREWALL POLICY=mypol INT=vlan-grey TYPE=PUBLIC ↓

   
   
10. 以下、ポリシーの詳細設定を行います。
    
    • ICMP echo/echo replyとUnreachableを双方向で許可します。
      
      ENABLE FIREWALL POLICY=mypol ICMP_F=PING,UNREACH ↓
      
      
    • UDPは、 DNS サービス（53）のみ双方向で許可します。
      
      ADD FIREWALL POLICY=mypol RULE=1 ACTION=ALLOW INT=vlan-white PROT=UDP PORT=DNS ↓
ADD FIREWALL POLICY=mypol RULE=2 ACTION=ALLOW INT=vlan-grey PROT=UDP PORT=DNS ↓

      
      
    • その他のUDPトラフィックは双方向で禁止します（外部からのUDPはデフォルトで禁止されるため設定する必要はありません）。
      
      ADD FIREWALL POLICY=mypol RULE=3 ACTION=DENY INT=vlan-white PROT=UDP PORT=ALL ↓
      
      
    • 内部のDNS サーバー（192.168.10.5）のDNSサービス（53）には外部からTCPのコネクションを張れるようにします。
      
      ADD FIREWALL POLICY=mypol RULE=4 ACTION=ALLOW INT=vlan-grey IP=192.168.10.5 PROT=TCP PORT=DNS ↓
      
      
    • 内部のメールサーバー（192.168.10.5）のSMTPサービス（25）には外部からTCPのコネクションを張れるようにします。
      
      ADD FIREWALL POLICY=mypol RULE=5 ACTION=ALLOW INT=vlan-grey IP=192.168.10.5 PROT=TCP PORT=SMTP ↓
      
      
    • 内部のWebサーバー（192.168.10.5）のHTTPサービス（80）には外部からTCPのコネクションを張れるようにします。ただし、時間を朝10:00〜夜20:59に制限します。
      
      ADD FIRE POLI=mypol RU=6 AC=ALLOW INT=vlan-grey IP=192.168.10.5 PROT=TCP PO=WWW AFTER=9:59 BEFORE=21:00 ↓

    
    
11. 不正行為を受けたときは、SNMPトラップで通知するよう設定します。SMTPコミュニティー名は大文字小文字を区別するので注意してください。
    
    ENABLE SNMP ↓
CREATE SNMP COMMUNITY=public ↓
ENABLE SNMP COMMUNITY=public TRAP ↓
ADD SNMP COMMUNITY=public MANAGER=192.168.10.100 TRAPHOST=192.168.10.100 ↓
ENABLE FIREWALL NOTIFY=SNMP ↓


Copyright (C) 2000-2002 アライドテレシス株式会社

PN: J613-M0522-00 Rev.C