ファイアウォールとは
ファイアウォールとは読んで字の如し(防火壁)です。火事(インターネット)から家(LAN)を守るための防火壁です。インターネットには、色々な情報が飛び交っています。しかし、飛び交っているのは情報ばかりではありません。色々な悪意が飛び交っているのです。
- コンピュータウイルス
- スパイウェア
- 不正アクセスと不正侵入
- DoS攻撃
- スパム
- フィッシング詐欺
コンピュータウイルスは、今やほとんどの人に認知されるようになっていますので、知らない人はほとんどいないと思います。悪意のプログラマーは時として、自分の力を誇示するためにコンピュータウイルスを作り、ばらまいています。
コンピュータウイルスは認知度が高まっていますので、ウイルス対策ソフトの導入などで、一応対応できるようになってきていますが、それ以外の不正侵入や盗聴、データ改竄、Dos攻撃などの対策を施している人はまだまだ少数といえるのでは無いでしょうか。
UTM(統合脅威管理システム)
Fortigateはこれらの脅威(インターネット)から家(LAN)を守るためのUTM(統合脅威管理)システムです。UTMはネットワークを流れる通信を監視して、必要に応じて内容をチェックするためのハードウエア、OS、UTMとして機能するためのソフトウエアから構成されています。
ですからFortigateは小さいながらも、ネットワークの脅威に対処するために特化した専用のマシン(コンピュータ)であるともいえます。
ファイアウォールの概要
Fortigateでは、サービスやスケジュールに従ってパケットの流れを制御します。ファイヤーウォールとはソース(入り口)からデスティネーション(出口)に流れるパケットを一定の条件によって制御することです。
実際問題として、知人や親戚は無条件で玄関を開け、家に招き入れますが、業者の人(宅配や点検業者)は身分をチェックしてから玄関の扉を開けるはずです。又、知人でも時間によっては玄関先で応対することがあると思います。
これらの日常のセキュリティと同じようにインターネットの脅威から家(LAN)を守るのがファイアウォールの役目です。
基本的な設定条件
Fortigateでは、ファイアウォール設定をするために、あらかじめ決めておかなければならない最低限のパラメータがありますので、設定前にきちんと決めておいて下さい。
- 送信元インタフェース
- 送信元アドレス
- 宛先インタフェース
- 宛先アドレス
- スケジュール
- サービス
- アクション
送信元インタフェースとは、データの入口で、宛先インターフェースは出口の事です。送信元アドレスや宛先アドレスをallに設定すると、すべてのアドレスからのすべてのアドレスへパケットを送信することができます。又、特定のアドレスから特定のアドレスへパケットを送信することもできます。
スケジュールの設定では、時間帯や曜日によって通信を制御することができます。サービスで、ANYを指定するとあらゆるプロトコルを通過することができますし、通過するプロトコルをHTTPだけとかFTPだけとか指定することもできます。
内部から外部への接続
それでは、実際に内部インタフェース(internal)から外部(Wan1)に、すべてのアドレスで指定したサービスグループを常に(allways)パケット通過させる設定を作成してみましょう。
1. まず先にサービスグループを作成します。
2. 「ファイアウォール」→「サービス」→「グループ」と選択します。
3. 「Create New」ボタンをクリックします。
4. 「サービスグループの追加」画面でグループ名に「Basis」(任意)と入力します。
5. 「利用可能なサービス」から、複数の項目を選択しますので、[Ctrl]キーを押しながら、DNS、FTP、FTP_GET、FTP_PUT、HTTP、HTTPS、IMAP、NNTP、POP3、SMTP、SSH、UDPをクリックします。
6. 右矢印(→)をクリックして、右のメンバの中に選択した項目を入れます。
7. 「OK」ボタンをクリックすれば、新しいサービスグループが作成されます。
8. 次に、「ファイアウォール」→「ポリシー」→「ポリシー」と選択します。
9. 「Create New」ボタンをクリックします。
10. 「ポリシー追加」画面で以下のように設定します。
11. 「送信元インタフェース/ゾーン」は、「internal」を選択します。
12. 「送信元アドレス」は「all」を選択します。
13. 「宛先インタフェース/ゾーン」には、「wan1」を選択します。
14. 「宛先アドレス」は、「all」を選択します。
15. 「スケジュール」には、「always」を選択します。
16. 「サービス」には先ほど作成した(一番下に作成されている)「Basis」を選択します。
17. 「アクション」には「ACCEPT」を選択します。
18. NAT以下の項目を今は設定しません。
19. 「OK」ボタンをクリックします。
これで、内部から外部へすべてのアドレスでBasisというサービスグループを使って常にパケットを通すファイアウォールの設定が完成しました。