milan米兰体育ネットワーク機器の総合ブランド ファイテルネット
ファイアウォール機能について
| 2004年01月16日 初版 |
| 2010年03月29日 対応機器を追加 |
| 2012年07月05日 対応機器を追加 |
| 2014年12月01日 対応機器を追加 |
1. はじめに
ファイアウォール機能は、大きく分けて4つの機能に分類されます。
1. パケットフィルタリング(2章)
2. milan米兰体育官网フィルタリング機能(ステートフルインスペクション機能)(3章)
3. NAT(アドレス変換)(4章)
4. 装置へのアクセス制限(6章)
以下に詳細を説明いたします。
1.1. milan米兰体育官网コマンド例の見方
後述する各節のmilan米兰体育官网解説は、milan米兰体育官网の一例です。milan米兰体育官网例の下のコメントは、それぞれのコマンドの意味を説明しております。詳細につきましては、コマンドリファレンスをご参照ください。
2. パケットフィルタリング機能
2.1. 概要
送信元/宛先アドレス、プロトコル番号、送信元/宛先ポート番号、インタフェースを指定することにより、指定したパケットを中継対象とするか、廃棄対象とするかを判断いたします。なお、F100,F1000、及びF100/F1000以降に発売された機器のデフォルトは、全てのパケットを中継しますので、中継を許可するmilan米兰体育官网の後、該当しないパケットは廃棄するmilan米兰体育官网が必要となります。(2.3節のコマンド解説内の(*1)参照)
2.2. フィルタリングの方向性について
2.3節 コマンド解説内の(*2)部でip access-group xxx in/outのmilan米兰体育官网を行いますが、本節では‘in’及び‘out’の方向性について説明いたします。
‘in’及び‘out’は、ルータのインタフェースに対しての‘in’及び‘out’を意味しておりますのでご注意ください。
‘in’及び‘out’は、ルータのインタフェースに対しての‘in’及び‘out’を意味しておりますのでご注意ください。
2.3. コマンド解説
指定したパケットを中継対象とするか、廃棄対象とするかを指定します。中継対象とする場合はpermit 、廃棄対象とする場合はdeny を指定します。
注1)wildcardマスクについて
wildcardマスクは、サブネットマスクとは書式が異なり、‘0’‘1’の判別が逆になりますので、ご注意ください。
例)24bitマスクを表現する場合の例
wildcardマスク :0.0.0.255
サブネットマスク :255.255.255.0
注2)access-listについて
access-listは、番号順に適用されます。また、同じ番号のaccess-listに複数行のmilan米兰体育官网をした場合は、上の行から適用されます。
図 2.3-1 パケットフィルタリング説明図
3. milan米兰体育官网フィルタリング機能(ステートフルインスペクション機能)
3.1. 概要
ルータを通過するパケット(通常LAN側→WAN側)の項目内容をmilan米兰体育官网し、milan米兰体育官网した項目内容によりパケットの通過の可否を判断する機能です。
図 3.1-1 概略図
milan米兰体育官网フィルタリング機能の概略図を図 3.1-1に示します。図中の実線は、通信可能なパケット、点線は通信不可のパケットを示しております。
端末Aから端末Bに向けてパケットを送信(通信A)する際、ルータにてパケットの項目内容を記録*します。以後、同一セッションを通過するパケットは、この記録されたパケットの項目内容を元に、通過の可否がルータにて判断されます。
端末Bから、端末Aに向けて送信されるパケット(通信A、通信B)は、記録された項目内容に従い正当性をチェックし、正当と判断されたパケットのみ通過します。項目の記録が無い場合や不当と判断されたパケットは、通常は廃棄されます。
端末Aを起点とする通信Aの戻りパケットが通過するのに対し、端末Bを起点とする通信Bがルータで廃棄される理由は、通信Aで記録*された項目の中で、送信元アドレスと宛先アドレスが同じでも、それ以外の項目(詳細は、表 3.2 1参照)が異なるためです。端末Cを起点とする通信Cは、通信Aで記録*された情報の中の「送信元IPアドレス(上図では端末B)」と「宛先IPアドレス(上図では端末A)」等が異なるため、ルータにて廃棄されます。
記録された項目は、セッション終了時や通信終了時、また、一定期間通信がない場合(TCP:約4分、UDP:約2分、その他:約1分)に廃棄されます。
*:milan米兰体育官网する項目は、表 3.2-1に示します。
端末Aから端末Bに向けてパケットを送信(通信A)する際、ルータにてパケットの項目内容を記録*します。以後、同一セッションを通過するパケットは、この記録されたパケットの項目内容を元に、通過の可否がルータにて判断されます。
端末Bから、端末Aに向けて送信されるパケット(通信A、通信B)は、記録された項目内容に従い正当性をチェックし、正当と判断されたパケットのみ通過します。項目の記録が無い場合や不当と判断されたパケットは、通常は廃棄されます。
端末Aを起点とする通信Aの戻りパケットが通過するのに対し、端末Bを起点とする通信Bがルータで廃棄される理由は、通信Aで記録*された項目の中で、送信元アドレスと宛先アドレスが同じでも、それ以外の項目(詳細は、表 3.2 1参照)が異なるためです。端末Cを起点とする通信Cは、通信Aで記録*された情報の中の「送信元IPアドレス(上図では端末B)」と「宛先IPアドレス(上図では端末A)」等が異なるため、ルータにて廃棄されます。
記録された項目は、セッション終了時や通信終了時、また、一定期間通信がない場合(TCP:約4分、UDP:約2分、その他:約1分)に廃棄されます。
*:milan米兰体育官网する項目は、表 3.2-1に示します。
3.2. milan米兰体育官网する項目
表 3.2-1に示したmilan米兰体育官网は、パケットの情報としてステート・テーブル(以後、テーブルと略す)を学習します。
表 3.2-1 milan米兰体育官网する項目一覧表
milan米兰体育官网1.IPバージョン
ICMP:○
TCP:○
UDP:○
その他:○
milan米兰体育官网2.プロトコル
ICMP:○
TCP:○
UDP:○
その他:○
milan米兰体育官网3.送信元IPアドレス
ICMP:○
TCP:○
UDP:○
その他:○
milan米兰体育官网4.宛先IPアドレス
ICMP:○
TCP:○
UDP:○
その他:○
milan米兰体育官网5.IPオプション
ICMP:○
TCP:○
UDP:○
その他:○
milan米兰体育官网6.送信元ポート(注)
ICMP:-
TCP:○
UDP:○
その他:-
milan米兰体育官网7.宛先ポート(注)
ICMP:-
TCP:○
UDP:○
その他:-
milan米兰体育官网8.ICMP TYPE
ICMP:○
TCP:-
UDP:-
その他:-
milan米兰体育官网9.ICMP識別子
ICMP:○
TCP:-
UDP:-
その他:-
milan米兰体育官网10.ICMPシーケンス番号
ICMP:○
TCP:-
UDP:-
その他:-
milan米兰体育官网11.シーケンス番号
ICMP:-
TCP:○
UDP:-
その他:-
milan米兰体育官网12.確認応答番号
ICMP:-
TCP:○
UDP:-
その他:-
milan米兰体育官网13.コントロールフラグ
ICMP:-
TCP:○
UDP:-
その他:-
milan米兰体育官网14.ウインドゥサイズ
ICMP:-
TCP:○
UDP:-
その他:-
○:情報をmilan米兰体育官网
-:milan米兰体育官网対象外
注)FTP等対応済みプロトコルは除く
3.3. コマンド解説
学習フィルタリングを使用する場合は、access-list コマンドの属性で、"dynamic"を指定します。以下に、F100から出力されるパケットを学習させるmilan米兰体育官网例を示します。なお、F100,F1000、及びF100/F1000以降に発売された機器のデフォルトは、全てのパケットを中継しますので、中継を許可するmilan米兰体育官网の後、該当しないパケットは廃棄するmilan米兰体育官网が必要となります。(3.3節のコマンド解説内の(*1)参照)
図 3.3-1 milan米兰体育官网フィルタリング説明図
4. NAT+,NATスタティック (アドレス変換)
4.1. 概要
NAT 変換或いはNAT+(一般的にIPマスカレードと呼ばれる機能を本書ではNAT+と称します。)変換ルールを指定することにより、指定したパケットをアドレス変換対象パケットとするかを判断いたします。
なお、LAN側からWAN側へのNAT変換の際、NATモードとNAT+モードでは、milan米兰体育官网の仕方が異なるので、4.2節〜4.4節に分けて説明いたします。
なお、LAN側からWAN側へのNAT変換の際、NATモードとNAT+モードでは、milan米兰体育官网の仕方が異なるので、4.2節〜4.4節に分けて説明いたします。
4.2. コマンド解説1(NAT+変換)
NAT+変換ルールをmilan米兰体育官网します。以下にNAT+変換(192.168.0.0/24 →インタフェースアドレス)する一例を示します。
図 4.2-1 コマンド解説1(NAT+変換)説明図
4.3. コマンド解説2(NATスタティック変換)
NAT 変換ルールをmilan米兰体育官网します。以下に、PPPoE1で158.xxx.xxx.2 宛のパケットを受信したらLAN側アドレスの192.168.0.1 に変換するmilan米兰体育官网例を示します。
図 4.3-1 コマンド解説2(NAT変換)説明図
4.4. コマンド解説3(NAT変換)
NAT 変換ルールをmilan米兰体育官网します。以下にNAT 変換(192.168.0.0/24 →158.xxx.xxx.2 - 158.xxx.xxx.7 )する一例を示します。
図 4.4-1 コマンド解説3(NAT変換)説明図
5. フィルタリングログ
5.1. フィルタリングログ取得milan米兰体育官网
フィルタリングログを取得するためには、下記の条件が必要となります。
| 対応機種 | ファームウェア |
|---|---|
| FITELnet F60 | V01.00(00)(初版) - |
| FITELnet-F80 | V01.00(00)(初版) - |
| FITELnet-F100 | V01.08 - |
| FITELnet-F140 | V01.00(00)(初版) - |
| FITELnet F200 | V01.00(00)(初版) - |
| FITELnet-F1000 | V01.00(00)(初版) - |
| FITELnet F2000 | V01.00(00)(初版) - |
| FITELnet F2200 | V01.00(00)(初版) - |
・ 2.3節のmilan米兰体育官网においてaccess-listの末尾に‘log’コマンドを追加する。
(具体的には、下記に示したコマンド入力例をご参照下さい。
なお、下記の例では、access-list100,101,103にのみ
‘log’コマンドを追加しております。)
5.2. フィルタリングログの参照
フィルタリングログを参照するには、下記のコマンドを入力することにより、参照できます。
Center側で取得したフィルタリングログ参照結果の一例を、下記に示します。
結果の見方を、上記結果から抜粋し下記に示します。
6. 装置へのアクセス制限
6.1. 概要
装置ログイン(コンソール,telnet,ftp,http)において、パスワードの入力回数制限や自動ログアウト等の装置milan米兰体育官网により、装置外部からの不正アクセスを防ぐ機能です。パスワードによる制限を例に取ると、パスワードの誤りをmilan米兰体育官网回数以上間違えた場合、アクセスが拒否されます。
図 6.1-1 装置へのアクセス制限のイメージ
6.2. コマンド解説
パスワードを指定回数以上間違えた時にアクセス拒否する機能や、アクセス時間がタイムアウトした時、自動ログアウトする機能の一例を示します。
milan米兰体育官网例)パスワード誤り許容回数を2回にmilan米兰体育官网する。
milan米兰体育官网例)パスワード誤り許容回数を2回にmilan米兰体育官网する。
milan米兰体育官网例)コンソールでログインしているアクセスのタイムアウト時間を30分にmilan米兰体育官网する場合
(30分間コンソールから入力が無いと自動ログアウトします。)
(30分間コンソールから入力が無いと自動ログアウトします。)
milan米兰体育官网例) telnetでログインしているアクセスのタイムアウト時間を30分にmilan米兰体育官网する場合
(30分間telnetから入力が無いと自動ログアウトします。)
(30分間telnetから入力が無いと自動ログアウトします。)
milan米兰体育官网例) ftpでログインしているアクセスのタイムアウト時間を30分にmilan米兰体育官网する場合
(30分間ftpから入力が無いと自動ログアウトします。)
(30分間ftpから入力が無いと自動ログアウトします。)
milan米兰体育官网例) httpでログインしているアクセスのタイムアウト時間を30分にmilan米兰体育官网する場合
(30分間httpから入力が無いと自動ログアウトします。)
(30分間httpから入力が無いと自動ログアウトします。)
7. 各機能の処理順序
7.1. 処理の流れ
LAN側からの処理の順番としては、最初にフィルタ処理、次にNAT変換、最後にVPNの順番でフィルタ処理が行われます。逆に、インターネット側から送られてくるパケットの処理としては、VPN→NAT→フィルタの順で処理されます。
All Rights Reserved, Copyright(C) FURUKAWA ELECTRIC CO., LTD. 2007