ファイアウォール機能について

1. はじめに 　FITELnet-F100（以後、F100と略します）及びFITELnet-F1000（以後、F1000と略します）のファイアウォール機能は、大きく分けて４つの機能に分類されます。 　１．　パケットフィルタリング（2章） 　２．　学習フィルタリング機能（ステートフルインスペクション機能）（3章） 　３．　NAT（アドレス変換）（4章） 　４．　装置へのアクセス制限（6章） 　以下に詳細を説明いたします。 1.1. 設定コマンド例の見方 　後述する各節の設定解説にある内は、設定の一例です。設定例の下のコメントは、それぞれのコマンドの意味を説明しております。詳細につきましては、コマンドリファレンスをご参照ください。 2. パケットフィルタリング機能 2.1. 概要 　送信元／宛先アドレス、プロトコル番号、送信元／宛先ポート番号、インタフェースを指定することにより、指定したパケットを中継対象とするか、廃棄対象とするかを判断いたします。なお、F100及びF1000のデフォルトは、全てのパケットを中継しますので、中継を許可する設定の後、該当しないパケットは廃棄する設定が必要となります。（2.3節のコマンド解説内の(*1)参照） 2.2. フィルタリングの方向性について 　2.3節 コマンド解説内の(*2)部でip access-group xxx in／outの設定を行いますが、本節では‘in’及び‘out’の方向性について説明いたします。 　‘in’及び‘out’は、F100やF1000のインタフェースに対しての‘in’及び‘out’を意味しておりますのでご注意ください。 2.3. コマンド解説 　指定したパケットを中継対象とするか、廃棄対象とするかを指定します。中継対象とする場合はpermit 、廃棄対象とする場合はdeny を指定します。 注１）wildcardマスクについて 　wildcardマスクは、サブネットマスクとは書式が異なり、‘0’‘1’の判別が逆になりますので、ご注意ください。 　　　　例）24bitマスクを表現する場合の例 　　　　　　wildcardマスク ：0.0.0.255 　　　　　　サブネットマスク ：255.255.255.0 注２）access-listについて 　access-listは、番号順に適用されます。また、同じ番号のaccess-listに複数行の設定をした場合は、上の行から適用されます。 図 2.3-1　パケットフィルタリング説明図 3. 学習フィルタリング機能（ステートフルインスペクション機能） 3.1. 概要 　F100あるいはF1000を通過するパケット（通常LAN側→WAN側）の項目内容を学習し、学習した項目内容によりパケットの通過の可否を判断する機能です。 図 3.1-1　概略図 　学習フィルタリング機能の概略図を図 3.1-1に示します。図中の実線は、通信可能なパケット、点線は通信不可のパケットを示しております。 　端末Aから端末Bに向けてパケットを送信（通信A）する際、F100及びF1000ではパケットの項目内容を記録*します。以後、同一セッションを通過するパケットは、この記録されたパケットの項目内容を元に、通過の可否がルータにて判断されます。 　端末Bから、端末Aに向けて送信されるパケット（通信A、通信B）は、記録された項目内容に従い正当性をチェックし、正当と判断されたパケットのみF100及びF1000を通過します。項目の記録が無い場合や不当と判断されたパケットは、通常は廃棄されます。 　端末Aを起点とする通信Aの戻りパケットがF100及びF1000を通過するのに対し、端末Bを起点とする通信Bがルータで廃棄される理由は、通信Aで記録*された項目の中で、送信元アドレスと宛先アドレスが同じでも、それ以外の項目（詳細は、表 3.2 １参照）が異なるためです。端末Cを起点とする通信Cは、通信Aで記録*された情報の中の「送信元IPアドレス（上図では端末B）」と「宛先IPアドレス（上図では端末A）」等が異なるため、ルータにて廃棄されます。 　記録された項目は、セッション終了時や通信終了時、また、一定期間通信がない場合（TCP：約４分、UDP：約２分、その他：約１分）に廃棄されます。 　*：学習する項目は、表 3.2-1に示します。 3.2. 学習する項目 　表 3.2-1に示した学習項目は、パケットの情報としてステート・テーブル（以後、テーブルと略す）を学習します。 表 3.2-1　学習する項目一覧表 No. 学習項目 ICMP TCP UDP その他 1 IPバージョン ○ ○ ○ ○ 2 プロトコル ○ ○ ○ ○ 3 送信元IPアドレス ○ ○ ○ ○ 4 宛先IPアドレス ○ ○ ○ ○ 5 IPオプション ○ ○ ○ ○ 6 送信元ポート注） − ○ ○ − 7 宛先ポート注） − ○ ○ − 8 ICMP TYPE ○ − − − 9 ICMP識別子 ○ − − − 10 ICMPシーケンス番号 ○ − − − 11 シーケンス番号 − ○ − − 12 確認応答番号 − ○ − − 13 コントロールフラグ − ○ − − 14 ウインドゥサイズ − ○ − − 　　○：情報を学習 　　−：学習対象外 　　注）FTP等対応済みプロトコルは除く 3.3. コマンド解説 　学習フィルタリングを使用する場合は、access-list コマンドの属性で、"dynamic"を指定します。以下に、F100から出力されるパケットを学習させる設定例を示します。なお、F100及びF1000のデフォルトは、全てのパケットを中継しますので、中継を許可する設定の後、該当しないパケットは廃棄する設定が必要となります。（3.3節のコマンド解説内の(*1)参照） 図 3.3-1　学習フィルタリング説明図 4. NAT＋，NATスタティック （アドレス変換） 4.1. 概要 　NAT 変換或いはNAT+（一般的にIPマスカレードと呼ばれる機能を本書ではNAT+と称します。）変換ルールを指定することにより、指定したパケットをアドレス変換対象パケットとするかを判断いたします。 　なお、LAN側からWAN側へのNAT変換の際、NATモードとNAT+モードでは、設定の仕方が異なるので、4.2節〜4.4節に分けて説明いたします。 4.2. コマンド解説１（NAT+変換） NAT+変換ルールを設定します。以下にNAT+変換（192.168.0.0/24 →インタフェースアドレス）する一例を示します。 図 4.2-1　コマンド解説１（NAT+変換）説明図 4.3. コマンド解説２（NATスタティック変換） 　NAT 変換ルールを設定します。以下に、PPPoE1で158.xxx.xxx.2 宛のパケットを受信したらLAN側アドレスの192.168.0.1 に変換する設定例を示します。 図 4.3-1　コマンド解説２（NAT変換）説明図 4.4. コマンド解説３（NAT変換） 　NAT 変換ルールを設定します。以下にNAT 変換（192.168.0.0/24 →158.xxx.xxx.2 〜158.xxx.xxx.7 ）する一例を示します。 図 4.4-1　コマンド解説３（NAT変換）説明図 5. フィルタリングログ 5.1. フィルタリングログ取得設定 　フィルタリングログを取得するためには、下記の条件が必要となります。 F100のファームウェアは、V01.08からサポートしております。 F1000のファームウェアは、V01.00からサポートしております。 2.3節の設定においてaccess-listの末尾に‘log’コマンドを追加する必要があります。（具体的には、下記に示したコマンド入力例をご参照下さい。なお、下記の例では、access-list100，101，103にのみ‘log’コマンドを追加しております。） 5.2. フィルタリングログの参照 　フィルタリングログを参照するには、下記のコマンドを入力することにより、参照できます。 　Center側で取得したフィルタリングログ参照結果の一例を、下記に示します。 　結果の見方を、上記結果から抜粋し下記に示します。 6. 装置へのアクセス制限 6.1. 概要 　装置ログイン（コンソール，telnet，ftp，http）において、パスワードの入力回数制限や自動ログアウト等の装置設定により、装置外部からの不正アクセスを防ぐ機能です。パスワードによる制限を例に取ると、パスワードの誤りを設定回数以上間違えた場合、アクセスが拒否されます。 図 6.1-1　装置へのアクセス制限のイメージ 6.2. コマンド解説 　パスワードを指定回数以上間違えた時にアクセス拒否する機能や、アクセス時間がタイムアウトした時、自動ログアウトする機能の一例を示します。 　設定例）パスワード誤り許容回数を２回に設定する。 　設定例）コンソールでログインしているアクセスのタイムアウト時間を30分に設定する場合 　　　　　（30分間コンソールから入力が無いと自動ログアウトします。） 　設定例) telnetでログインしているアクセスのタイムアウト時間を30分に設定する場合 　　　　　（30分間telnetから入力が無いと自動ログアウトします。） 　設定例) ftpでログインしているアクセスのタイムアウト時間を30分に設定する場合 　　　　　（30分間ftpから入力が無いと自動ログアウトします。） 　設定例) httpでログインしているアクセスのタイムアウト時間を30分に設定する場合 　　　　　（30分間httpから入力が無いと自動ログアウトします。） 7. 各機能の処理順序 7.1. 処理の流れ 図 7.1-1　処理の流れ概要図 　LAN側からの処理の順番としては、最初にフィルタ処理、次にNAT変換、最後にVPNの順番でフィルタ処理が行われます。逆に、インターネット側から送られてくるパケットの処理としては、VPN→NAT→フィルタの順で処理されます。