古河電工ネットワーク機器の総合ブランド ファイテルネット
古河電工
FITELnetトップ製品ラインナップイベント&セミナーセールス&サポート
Routing to the Future FITELnet
お問い合わせはこちら
 

FITELnet技術情報

ファイアウォール機能について
2004年01月16日 初版
2010年03月29日 対応機器を追加
2012年07月05日 対応機器を追加
2014年12月01日 対応機器を追加

1. はじめに

ファイアウォール機能は、大きく分けて4つの機能に分類されます。

1. パケットフィルタリング(2章)
2. 学習フィルタリング機能(ステートフルインスペクション機能)(3章)
3. NAT(アドレス変換)(4章)
4. 装置へのアクセス制限(6章)

 

 以下に詳細を説明いたします。

space

1.1. 設定コマンド例の見方

後述する各節の設定解説は、設定の一例です。設定例の下のコメントは、それぞれのコマンドの意味を説明しております。詳細につきましては、コマンドリファレンスをご参照ください。
space

2. パケットフィルタリング機能

space

2.1. 概要

送信元/宛先アドレス、プロトコル番号、送信元/宛先ポート番号、インタフェースを指定することにより、指定したパケットを中継対象とするか、廃棄対象とするかを判断いたします。なお、F100,F1000、及びF100/F1000以降に発売された機器のデフォルトは、全てのパケットを中継しますので、中継を許可する設定の後、該当しないパケットは廃棄する設定が必要となります。(2.3節のコマンド解説内の(*1)参照)
space

2.2. フィルタリングの方向性について

2.3節 コマンド解説内の(*2)部でip access-group xxx in/outの設定を行いますが、本節では‘in’及び‘out’の方向性について説明いたします。
 ‘in’及び‘out’は、ルータのインタフェースに対しての‘in’及び‘out’を意味しておりますのでご注意ください。
tech12-2

2.3. コマンド解説

 指定したパケットを中継対象とするか、廃棄対象とするかを指定します。中継対象とする場合はpermit 、廃棄対象とする場合はdeny を指定します。
tech12-3

tech12-4

tech12-5

注1)wildcardマスクについて
 wildcardマスクは、サブネットマスクとは書式が異なり、‘0’‘1’の判別が逆になりますので、ご注意ください。
    例)24bitマスクを表現する場合の例
      wildcardマスク :0.0.0.255
      サブネットマスク :255.255.255.0

 

注2)access-listについて
 access-listは、番号順に適用されます。また、同じ番号のaccess-listに複数行の設定をした場合は、上の行から適用されます。

 

tech12-6

図 2.3-1 パケットフィルタリング説明図
space

3. 学習フィルタリング機能(ステートフルインスペクション機能)

space

3.1. 概要

 ルータを通過するパケット(通常LAN側→WAN側)の項目内容を学習し、学習した項目内容によりパケットの通過の可否を判断する機能です。
tech12-7

図 3.1-1 概略図
space

 学習フィルタリング機能の概略図を図 3.1-1に示します。図中の実線は、通信可能なパケット、点線は通信不可のパケットを示しております。
 端末Aから端末Bに向けてパケットを送信(通信A)する際、ルータにてパケットの項目内容を記録*します。以後、同一セッションを通過するパケットは、この記録されたパケットの項目内容を元に、通過の可否がルータにて判断されます。
 端末Bから、端末Aに向けて送信されるパケット(通信A、通信B)は、記録された項目内容に従い正当性をチェックし、正当と判断されたパケットのみ通過します。項目の記録が無い場合や不当と判断されたパケットは、通常は廃棄されます。
 端末Aを起点とする通信Aの戻りパケットが通過するのに対し、端末Bを起点とする通信Bがルータで廃棄される理由は、通信Aで記録*された項目の中で、送信元アドレスと宛先アドレスが同じでも、それ以外の項目(詳細は、表 3.2 1参照)が異なるためです。端末Cを起点とする通信Cは、通信Aで記録*された情報の中の「送信元IPアドレス(上図では端末B)」と「宛先IPアドレス(上図では端末A)」等が異なるため、ルータにて廃棄されます。
 記録された項目は、セッション終了時や通信終了時、また、一定期間通信がない場合(TCP:約4分、UDP:約2分、その他:約1分)に廃棄されます。

 *:学習する項目は、表 3.2-1に示します。
space

3.2. 学習する項目

表 3.2-1に示した学習項目は、パケットの情報としてステート・テーブル(以後、テーブルと略す)を学習します。

 

表 3.2-1 学習する項目一覧表

学習項目:1.IPバージョン

  ICMP:○

  TCP:○

  UDP:○

  その他:○

学習項目:2.プロトコル

  ICMP:○

  TCP:○

  UDP:○

  その他:○

学習項目:3.送信元IPアドレス

  ICMP:○

  TCP:○

  UDP:○

  その他:○

学習項目:4.宛先IPアドレス

  ICMP:○

  TCP:○

  UDP:○

  その他:○

学習項目:5.IPオプション

  ICMP:○

  TCP:○

  UDP:○

  その他:○

学習項目:6.送信元ポート(注)

  ICMP:-

  TCP:○

  UDP:○

  その他:-

学習項目:7.宛先ポート(注)

  ICMP:-

  TCP:○

  UDP:○

  その他:-

学習項目:8.ICMP TYPE

  ICMP:○

  TCP:-

  UDP:-

  その他:-

学習項目:9.ICMP識別子

  ICMP:○

  TCP:-

  UDP:-

  その他:-

学習項目:10.ICMPシーケンス番号

  ICMP:○

  TCP:-

  UDP:-

  その他:-

学習項目:11.シーケンス番号

  ICMP:-

  TCP:○

  UDP:-

  その他:-

学習項目:12.確認応答番号

  ICMP:-

  TCP:○

  UDP:-

  その他:-

学習項目:13.コントロールフラグ

  ICMP:-

  TCP:○

  UDP:-

  その他:-

学習項目:14.ウインドゥサイズ

  ICMP:-

  TCP:○

  UDP:-

  その他:-

  ○:情報を学習
  -:学習対象外

  注)FTP等対応済みプロトコルは除く

 

space

3.3. コマンド解説

 学習フィルタリングを使用する場合は、access-list コマンドの属性で、"dynamic"を指定します。以下に、F100から出力されるパケットを学習させる設定例を示します。なお、F100,F1000、及びF100/F1000以降に発売された機器のデフォルトは、全てのパケットを中継しますので、中継を許可する設定の後、該当しないパケットは廃棄する設定が必要となります。(3.3節のコマンド解説内の(*1)参照)
tech12-8

tech12-9

tech12-9-2

tech12-10

図 3.3-1 学習フィルタリング説明図
space

4. NAT+,NATスタティック (アドレス変換)

space

4.1. 概要

 NAT 変換或いはNAT+(一般的にIPマスカレードと呼ばれる機能を本書ではNAT+と称します。)変換ルールを指定することにより、指定したパケットをアドレス変換対象パケットとするかを判断いたします。
 なお、LAN側からWAN側へのNAT変換の際、NATモードとNAT+モードでは、設定の仕方が異なるので、4.2節〜4.4節に分けて説明いたします。
space

4.2. コマンド解説1(NAT+変換)

NAT+変換ルールを設定します。以下にNAT+変換(192.168.0.0/24 →インタフェースアドレス)する一例を示します。
tech12-11

tech12-12

tech12-13

図 4.2-1 コマンド解説1(NAT+変換)説明図
space

4.3. コマンド解説2(NATスタティック変換)

 NAT 変換ルールを設定します。以下に、PPPoE1で158.xxx.xxx.2 宛のパケットを受信したらLAN側アドレスの192.168.0.1 に変換する設定例を示します。
tech12-14

tech12-15

tech12-16

図 4.3-1 コマンド解説2(NAT変換)説明図
space

4.4. コマンド解説3(NAT変換)

 NAT 変換ルールを設定します。以下にNAT 変換(192.168.0.0/24 →158.xxx.xxx.2  - 158.xxx.xxx.7 )する一例を示します。
tech12-17

tech12-18

tech12-19

図 4.4-1 コマンド解説3(NAT変換)説明図
space

5. フィルタリングログ

space

5.1. フィルタリングログ取得設定

フィルタリングログを取得するためには、下記の条件が必要となります。

 

対応機種 ファームウェア
FITELnet F60 V01.00(00)(初版) -
FITELnet-F80 V01.00(00)(初版) -
FITELnet-F100 V01.08 -
FITELnet-F140 V01.00(00)(初版) -
FITELnet F200 V01.00(00)(初版) -
FITELnet-F1000 V01.00(00)(初版) -
FITELnet F2000 V01.00(00)(初版) -
FITELnet F2200 V01.00(00)(初版) -

・ 2.3節の設定においてaccess-listの末尾に‘log’コマンドを追加する。

 (具体的には、下記に示したコマンド入力例をご参照下さい。

  なお、下記の例では、access-list100,101,103にのみ

 ‘log’コマンドを追加しております。)

 

tech12_20

5.2. フィルタリングログの参照

フィルタリングログを参照するには、下記のコマンドを入力することにより、参照できます。
tech12-21

Center側で取得したフィルタリングログ参照結果の一例を、下記に示します。
tech12_22

 結果の見方を、上記結果から抜粋し下記に示します。
tech12_23

6. 装置へのアクセス制限

space

6.1. 概要

 装置ログイン(コンソール,telnet,ftp,http)において、パスワードの入力回数制限や自動ログアウト等の装置設定により、装置外部からの不正アクセスを防ぐ機能です。パスワードによる制限を例に取ると、パスワードの誤りを設定回数以上間違えた場合、アクセスが拒否されます。
tech12-24

図 6.1-1 装置へのアクセス制限のイメージ
space

6.2. コマンド解説

 パスワードを指定回数以上間違えた時にアクセス拒否する機能や、アクセス時間がタイムアウトした時、自動ログアウトする機能の一例を示します。

 設定例)パスワード誤り許容回数を2回に設定する。
tech12-25

 設定例)コンソールでログインしているアクセスのタイムアウト時間を30分に設定する場合
     (30分間コンソールから入力が無いと自動ログアウトします。)
tech12-26

 設定例) telnetでログインしているアクセスのタイムアウト時間を30分に設定する場合
     (30分間telnetから入力が無いと自動ログアウトします。)
tech12-27

 設定例) ftpでログインしているアクセスのタイムアウト時間を30分に設定する場合
     (30分間ftpから入力が無いと自動ログアウトします。)
tech12-28

 設定例) httpでログインしているアクセスのタイムアウト時間を30分に設定する場合
     (30分間httpから入力が無いと自動ログアウトします。)
tech12-29

tech12-30

7. 各機能の処理順序

space

7.1. 処理の流れ

tech12-31

 LAN側からの処理の順番としては、最初にフィルタ処理、次にNAT変換、最後にVPNの順番でフィルタ処理が行われます。逆に、インターネット側から送られてくるパケットの処理としては、VPN→NAT→フィルタの順で処理されます。
space

ページトップへ

All Rights Reserved, Copyright(C) FURUKAWA ELECTRIC CO., LTD. 2007