[ファイアウォール]メニュー
画面上部のメニューバーで[ファイアウォール]をクリックします。
このページでは、 Endian UTM Appliance を経由する IP トラフィックの転送の可否とその方法を指定するルールを設定できます。画面左のサブメニューには以下のリンクが表示されます。
- [ポート転送 / NAT] - ポート転送と NAT (Network Address Translation) の設定
- [送信トラフィック] - 送信 (レッド方向への) トラフィックのゾーン、ホスト、ポートごとの許可または禁止
- [Inter-Zone トラフィック] - ゾーン間のトラフィックの許可または禁止
- [VPN traffic] - VPN 経由で接続するホストに対するファイアウォールの有効/無効の切り替え
- [システムアクセス] - Endian UTM Appliance ホスト自体へのアクセスの設定
- [Firewall Diagrams] - ファイアウォールモジュールの構成図の表示
以下では、各リンクについて順に説明します。
[ポート転送 / NAT]
画面上部のメニューバーで[ファイアウォール]をクリックし、画面左のサブメニューで[ポート転送 / NAT]をクリックします。
[Destination NAT]
バージョン 2.3 で変更.
一般に Destination NAT は、信頼できないネットワークからのアクセスを制限したり、特定のポートをほかのアドレスにマップしたりするのに使用します。Destination NAT では、どのインターフェースのどのポートの転送先をどのホストのどのポートにするかを定義できます。
- [Access from]
- このフィールドでは、任意の送信元、特定のインターフェースやアップリンク、特定の IP アドレス、あるいは特定の VPN ユーザから開始されたすべての送信接続に対して、Destination NAT を適用するかどうかを指定できます。 [ゾーン/VPN/アップリンク] を選択すると、このルールを適用する送信元のゾーン、アップリンク、またはインターフェースを選択できます。 [Network/IP/Range] を選択した場合は、下に表示されるテキストボックスに IP アドレスまたはネットワークアドレスを 1 行に 1 つずつ入力する必要があります。 [OpenVPN User] を選択すると、下に表示されるボックスで目的のユーザを複数選択できます。
- [Target]
- このフィールドでは、特定のインターフェースやアップリンク、特定の IP アドレス、あるいは特定の VPN ユーザ宛のすべての送信接続に対して、Destination NAT を適用するかどうかを指定できます。 [ゾーン/VPN/アップリンク] を選択すると、このルールを適用する送信先のゾーン、アップリンク、またはインターフェースを選択できます。 [Network/IP/Range] を選択した場合は、下に表示されるテキストボックスに IP アドレスまたはネットワークアドレスを 1 行に 1 つずつ入力する必要があります。 [OpenVPN User] を選択すると、下に表示されるボックスで目的のユーザを複数選択できます。
- [Filter policy]
- ここでは、現在のルールにマッチするパケットの処理方法を指定できます。有効なオプションは、 [Allow with IPS] 、 [Allow] 、 [Drop] 、または [Reject] です。
- [サービス/ポート]
- 2 つのフィールドがあります。 [Service] であらかじめ定義されたサービスを選択するか、または [プロトコル] で、TCP、UDP、GRE (Generic Routing Encapsulation。トンネルで使用) を選択できます。[TCP]、[UDP]、または[TCP+UDP]を選択した場合は、[Target port/range]ボックスで送信先のポートまたは送信先ポート範囲を入力できます。
- [Translate to]
- 送信先の変換方法を指定するための 4 つのフィールドがあります。 [タイプ] ボックスでは、送信先を単一の [IP] にするか、 [OpenVPN User] にするか、あるいは [Load balancing] または [Map network] を行うかを指定できます。選択した内容に応じて、ターゲットを入力するための適切なフィールドが表示されます。 [Map network] を選択した場合以外は、 [DNAT policy] ボックスで[Do not NAT]を選択すると、NAT を行わないよう明示的に指定することができます。このようなルールは、サブネット内の 1 つのアドレスを除くすべてのアドレスに対して NAT を行う場合に使うと便利です。
- [有効]
- ルールを有効にするには、このチェックボックスをオンにします (デフォルト)。
- [Log]
- このルールにマッチするすべてのパケットをログに記録します。
- [コメント]
- 転送ルールを追加した目的についてのコメントを入力します。
- [場所]
- ルールを挿入する場所を指定します。
入力した内容でよければ、 [ルールの作成] をクリックします。作成したルールの一覧で、目的の行の右側にあるアイコンをクリックすると、該当するルールの無効/有効の切り替え、編集、または削除を行うことができます (アイコンの凡例が下にあります)。
ルールセットに対する変更または追加を行ったら、画面上部に表示される [適用] を必ずクリックしてください。
警告
[Translate to] の [タイプ] で、 [IP] 、 [OpenVPN User] 、または [Load balancing] を選択した場合は、ポートが 1:1 でマップされるのではなく、ラウンドロビン方式のバランシングが実行されることに注意しなければなりません。たとえば、送信先ポート 137:139 をポート 137:139 にマップすると、これらのポートは無作為に使われることになります。これを防ぐには、 [Port/Range] フィールドを空のままにしておきます。
注意
[Map network] による変換を選択すると、ネットワークのアドレス全体が別のネットワークのアドレスにマップされます。この設定は、すべての子会社が同一の内部ネットワークを使うような企業で利用すると便利です。この場合、これらすべてのネットワークは、ネットワークマッピングによって互いに接続されます。
たとえば、次のようになります:
元のネットワーク 1: 192.168.0.0/24
マップ後のネットワーク 1: 192.168.1.0/24
元のネットワーク 2: 192.168.0.0/24
マップ後のネットワーク 2: 192.168.1.1/24
[ソース NAT]
このセクションでは、ソース NAT (Source Network Address Translation) を適用する送信接続を定義できます。ソース NATは、 Endian UTM Appliance 配下のサーバが独自の外向け IP アドレスを持っていて、送信パケットではアプライアンスのレッド IP を使用しないようにする場合に便利です。ソース NAT のルールの追加方法は、ポート転送のルールの追加方法と似ています。以下のオプションが設定可能です。
- [送信元]
- このフィールドでは、特定のネットワークや IP アドレス、または VPN ユーザから開始されたどの送信接続に対してソース NAT を適用するかを指定できます。[タイプ]で[ネットワーク/IP]を選択した場合は、下に表示されるテキストボックスに IP アドレスまたはネットワークアドレスを 1 行に 1 つずつ入力する必要があります。[OpenVPN User]を選択すると、下に表示されるボックスで目的のユーザを複数選択できます。
- [送信先]
- このフィールドでは、送信先がゾーン/VPN/アップリンク、ネットワーク/IP、または OpenVPN ユーザのうち、どの接続を対象にするかを指定できます。[タイプ]で[ゾーン/VPN/アップリンク]を選択した場合は、下に表示される[インターフェースの選択]ボックスで、目的のゾーン、VPN、またはアップリンクを複数選択できます。[タイプ]で[ネットワーク/IP]を選択した場合は、下に表示されるテキストボックスに IP アドレスまたはネットワークアドレスを 1 行に 1 つずつ入力する必要があります。[OpenVPN User]を選択した場合は、下に表示されるボックスで目的のユーザを複数選択できます。
- [サービス/ポート]
- ここでは、ソース NAT を適用するサービスを指定できます。[サービス]ボックスでは、さまざまなプロトコルを対象にあらかじめ定義された値を選択できます。独自にサービスを指定する場合は、[プロトコル]ボックスで目的のプロトコルを選択し、[送信先ポート]ボックスに送信先ポートを 1 行に 1 つずつ入力する必要があります。
- [NAT]
ソース NAT を適用するかどうかを指定できます。ソース NAT を適用する場合は、使用する IP アドレスを選択できます。[Auto]を選択すると、送信インターフェースに応じて自動的に IP アドレスが選択されます。
バージョン 2.3 で追加.
場合によっては、明示的に [NAT 無効] を指定したいことがあります。たとえば、DMZ が外向け IP アドレスを持っていて、DMZ からの送信接続の送信元にレッド IP を割り当てたくない場合などです。
- [有効]
- ルールを適用するには、このチェックボックスをオンにします。
- [コメント]
- このルールを追加した目的についてのコメントを入力します。
- [場所]
- ルールを挿入する場所を指定します。
ルールを保存するには、 [ルールの作成] をクリックします。
次に示すのは、IP アドレス 123.123.123.123 (この 123.123.123.123 はアップリンクの追加 IP アドレスだとします) で実行されている SMTP サーバをソース NAT を使って DMZ で動作させる例です。
- 目的に応じた任意の内容でオレンジゾーンの設定を行います。
- オレンジゾーンの IP アドレスのポート 25 でリスンするよう、SMTP サーバをセットアップします。
- [ネットワーク]メニューの[インターフェース]で、IP アドレスが 123.123.123.123 のスタティックイーサネットアップリンクを Endian UTM Appliance に追加します。
- ソース NAT ルールを追加し、SMTP サーバのオレンジ IP を送信元アドレスとして指定します。NAT を有効にし、NAT を適用する送信元 IP アドレスが 123.123.123.123 になっていることを確認します。
[Incoming routed traffic]
バージョン 2.3 で追加.
このモジュールを使うと、 Endian UTM Appliance を経由してルーティングされたトラフィックをリダイレクトすることができます。この機能は、アプライアンスに外向けの IP アドレスが複数あって、そのうちのいくつかを NAT を使わずに DMZ で使いたい場合に便利です。
- [送信元]
- このフィールドでは、信頼できないサイトから受信したすべてのトラフィック ([<レッド>])、選択したアップリンクからのトラフィック ([アップリンク])、または指定したネットワークアドレスや IP アドレスからのトラフィック ([ネットワーク/IP]) のうち、どれをルールの適用対象にするかを指定できます。
- [送信先]
- このフィールドでは、すべてのトラフィック ([<ANY>])、特定のゾーンへのトラフィック ([Zones])、または指定したネットワークアドレスや IP アドレスへのトラフィック ([ネットワーク/IP]) のうち、どれをルールの適用対象にするかを指定できます。
- [サービス/ポート]
- 2 つのフィールドがあります。 [サービス] であらかじめ定義されたサービスを選択するか、または [プロトコル] で、TCP、UDP、GRE (Generic Routing Encapsulation。トンネルで使用) を選択できます。[TCP]、[UDP]、または[TCP+UDP]を選択した場合は、[送信先ポート]ボックスで送信先のポートまたは送信先ポート範囲を入力できます。
- [動作]
- ここでは、現在のルールにマッチするパケットの処理方法を指定できます。有効なオプションは、 [Allow with IPS] 、 [Allow] 、 [Drop] 、または [Reject] です。
- [有効]
- ルールを有効にするには、このチェックボックスをオンにします (デフォルト)。
- [すべての許可されたパケットをログに出力]
- このルールにマッチするすべてのパケットをログに記録します。
- [コメント]
- 転送ルールを追加した目的についてのコメントを入力します。
- [場所]
- ルールを挿入する場所を指定します。
入力した内容でよければ、 [ルールの作成] をクリックします。作成したルールの一覧で、目的の行の右側にあるアイコンをクリックすると、該当するルールの無効/有効の切り替え、編集、または削除を行うことができます (アイコンの凡例が下にあります)。
ルールセットに対する変更または追加を行ったら、画面上部に表示される [適用] を必ずクリックしてください。
[送信トラフィック]
画面上部のメニューバーで[ファイアウォール]をクリックし、画面左のサブメニューで[送信トラフィック]をクリックします。 Endian UTM Appliance には、あらかじめいくつかのルールセットが組み込まれています。これらのルールセットでは、一般的なほとんどのサービス (HTTP、HTTPS、FTP、SMTP、POP、IMAP、POP3s、IMAPs、DNS、ping) について、グリーンゾーンからの送信トラフィック (すなわち「インターネットアクセス」) が許可されています。これら以外のすべてのサービスは、デフォルトではブロックされます。
同様に、ブルーゾーン (WLAN) からは HTTP、HTTPS、DNS へのアクセスと ping が許可されており、オレンジゾーン (DMZ) からは DNS と ping だけが許可されています。
これら以外はすべてデフォルトで禁止されています。
このセクションでは、作成したルールの一覧で、目的の行の右側にあるアイコンをクリックすると、該当するルールの無効/有効の切り替え、編集、または削除を行うことができます (アイコンの凡例が下にあります)。一覧の上の[新規ファイアウォールルール追加]をクリックして独自のルールを追加することもできます。注意が必要なのは、ルールの順序が重要である点です。パケットが許可されるか拒否されるかは、最初にマッチしたルールによって決まり、それ以降にマッチするルールがどれだけあってもこれは変わりません。ルールの順序は、各ルールの右側にある上下の矢印アイコンを使って変更できます。
ルールを定義するには、以下のパラメータを指定します。
- [送信元]
- ゾーン/インターフェースを選択するか、1 つ以上のネットワーク/ホストアドレスまたは MAC アドレスを指定します。
- [送信先]
- レッドゾーン全体、1 つ以上のアップリンク、または 1 つ以上のネットワーク/ホストアドレスを選択します。
- [サービス/ポート]
- 送信先サービスを指定します。一覧から目的のサービスを選択するか、またはプロトコルを選択して 1 つ以上のポート番号 (1-65535) を指定します。
- [動作]
- パケットの処理方法を指定します。 [ALLOW with IPS] を選択すると、不正侵入を検知するためにパケットは Intrusion Prevention System に送信され、 [ALLOW] を選択すると、パケットは常に許可され、 [DENY] を選択すると、送信元へのフィードバックなしにパケットはドロップされ、 [REJECT] を選択すると、パケットをドロップしたことを送信元に通知します。
- [コメント]
- ファイアウォールルールを追加した目的についてのコメントを入力します。
- [場所]
- ルールを挿入する場所を指定します。
- [有効]
- ルールを有効にするには、このチェックボックスをオンにします。
- [すべての許可されたパケットをログに出力]
- すべての許可されたパケットをログに記録します (禁止/拒否されたパケットは含まれません)。大量のログデータが生成されるため、このチェックボックスはデフォルトではオフになっています。
ルールを変更したら、一覧の上に表示される [適用] を必ずクリックしてください。
ページ下部では、アプライアンスの設定に従って Endian UTM Appliance によって自動的に作成されたルールを表示できます。[送信ファイアウォールを有効にする]スイッチを使うと、送信ファイアウォール全体を無効または有効にできます。無効にした場合には、すべての送信トラフィックが許可されます (これは推奨されない設定です)。
[Inter-Zone トラフィック]
画面上部のメニューバーで[ファイアウォール]をクリックし、画面左のサブメニューで[Inter-Zone トラフィック]をクリックします。
このセクションでは、レッドゾーン以外のさまざまなネットワークゾーン間でどのようにトラフィックを転送するかを規定するルールを設定できます。 Endian UTM Appliance には、あらかじめいくつかのルールが組み込まれています。これらのルールでは、グリーンゾーンから他の任意のゾーン (オレンジまたはブルー) へのトラフィックと、各ゾーン 内部 でのトラフィックが許可されています。
これら以外はすべてデフォルトで禁止されています。
送信トラフィックの場合と同様、作成したルールの一覧で、目的の行の右側にあるアイコンをクリックすると、該当するルールの無効/有効の切り替え、編集、または削除を行うことができます。一覧の上の [新規 Inter-Zone ファイアウォールルールの追加] をクリックして独自のルールを追加することもできます。ファイアウォールルールの指定方法の詳細については、上の[送信トラフィック]のセクションを参照してください。
[Inter-Zone ファイアウォールを有効にする]スイッチを使うと、Inter-Zone ファイアウォール全体を無効または有効にできます。無効にした場合には、レッドゾーン以外のすべてのゾーン間ですべてのトラフィックが許可されます (これは推奨されない設定です)。
[VPN traffic]
画面上部のメニューバーで[ファイアウォール]をクリックし、画面左のサブメニューで[VPN traffic]をクリックします。
VPN トラフィックファイアウォールでは、VPN 経由で接続されているホストに適用されるファイアウォールルールを追加できます。
VPN トラフィックファイアウォールは、通常は有効になっていません。すなわち、トラフィックは VPN ホストとグリーンゾーン内のホストの間を自由に往き来でき、VPN ホストはその他のすべてのゾーンにアクセスできます。VPN ホストには、送信トラフィックファイアウォールや Inter-Zone トラフィックファイアウォールは 適用されない ことに注意してください。VPN ホストからのアクセス、または VPN ホストへのアクセスを制限する必要がある場合は、VPN トラフィックファイアウォールを使う必要があります。
ルールの指定方法は、送信トラフィックファイアウォールの場合と同じです。ファイアウォールルールの指定方法の詳細については、上の[送信トラフィック]のセクションを参照してください。
[システムアクセス]
画面上部のメニューバーで[ファイアウォール]をクリックし、画面左のサブメニューで[システムアクセス]をクリックします。
このセクションでは、 Endian UTM Appliance ホスト自体へのアクセスを許可したり禁止したりするルールを設定できます。
あらかじめ設定されていて、変更できないルールがいくつか存在します。これらのルールは、アプライアンスの適切な動作を保証するためのもので、アプライアンスが提供する各種サービスで必要になるために自動的に作成されます。ルールの一覧を表示するには、[システムサービスルールを参照]というラベルの横の[>>]をクリックします。
独自のルールを追加するには、[新規システムアクセスルールの追加]をクリックします。ルールを定義するには、以下のパラメータを指定します。
- [送信元アドレス]
- 1 つ以上のネットワーク/ホストアドレスまたは MAC アドレスを指定します。
- [送信元インターフェース]
- ゾーンまたはインターフェースを選択します。
- [サービス/ポート]
- 送信先サービスを指定します。一覧から目的のサービスを選択するか、またはプロトコルを選択して 1 つ以上のポート番号 (1-65535) を指定します。
- [動作]
- パケットの処理方法を指定します。パケットを許可するか、禁止するか (送信元にはフィードバックされません)、または拒否するか (パケットをドロップしたことを送信元に通知します) を選択します。
- [コメント]
- システムアクセスルールを追加した目的についてのコメントを入力します。
- [場所]
- ルールを挿入する場所を指定します。
- [有効]
- ルールを有効にするには、このチェックボックスをオンにします (デフォルト)。
- [すべての許可されたパケットをログに出力]
- (禁止/拒否されたパケットに加えて) すべての許可されたパケットをログに記録します。大量のログデータが生成されるため、このチェックボックスはデフォルトではオフになっています。
入力した内容でよければ、[Add Rule]をクリックします。作成したルールの一覧で、目的の行の右側にあるアイコンをクリックすると、該当するルールの無効/有効の切り替え、編集、または削除を行うことができます (アイコンの凡例が下にあります)。
ルールセットに対する変更または追加を行ったら、一覧の上に表示される [適用] を必ずクリックしてください。
[Firewall Diagrams]
このページには、すべてのファイアウォールモジュールが表示されます。各モジュールに対応する構成は、わかりやすく図示されます。
図をクリックすると拡大できます。