FWX120 メールセキュリティー ポリシーフィルター 設定例

$Date: 2016/07/25 09:25:16 $

目次


概要

メールセキュリティーを使用する設定にすると、ポリシーフィルターでメールパケットがブロックされ、メールの送受信ができなくなることがあります。下記表の(※)のときは、メールセキュリティー用のポリシーフィルターの設定を追加する必要があります。

本ドキュメントでは、メールセキュリティーを使用するときに変更するポリシーフィルターの設定例とその解説をまとめています。[設定]の太字が変更するコマンドになります。

なお、使用しているファームウェアのリビジョンによって異なるので注意してください。

Rev.11.03.13の場合

メールセキュリティーの使用 メールセキュリティー用のポリシーフィルター メール送受信 備考
ライセンス有効期間外、
またはYSCへのアクセスに失敗
(メールセキュリティーを利用できない)
ライセンス有効期間内
(メールセキュリティーを利用できる)
使用しない 設定なし 送受信可能送受信可能 (メールセキュリティー使用前)
使用する 設定なし 送受信可能送受信できない (※) コマンドからメールセキュリティーを使用する設定に変更した場合
(=メールセキュリティー用のポリシーフィルターが未設定)
使用する 設定あり送受信できない 送受信可能
(セキュリティーチェックあり)
かんたん設定ページからメールセキュリティーを使用する設定に変更した場合(※)
(=メールセキュリティー用のポリシーフィルターは設定済)

Rev.11.03.18以降の場合

メールセキュリティーを利用できない場合の動作はmail security inactive transferコマンドの設定にしたがいます。

メールセキュリティーの使用 メールセキュリティー用のポリシーフィルター メール送受信 備考
ライセンス有効期間外、
またはYSCへのアクセスに失敗
(メールセキュリティーを利用できない)
ライセンス有効期間内
(メールセキュリティーを利用できる)
使用しない 設定なし 送受信可能 送受信可能 (メールセキュリティー使用前)
使用する 設定なし 送受信できない 送受信できない コマンドからメールセキュリティーを使用する設定に変更した場合
(=メールセキュリティー用のポリシーフィルターが未設定)
使用する 設定あり mail security inactive transferコマンドの設定値 送受信可能
(セキュリティーチェックあり)
かんたん設定ページからメールセキュリティーを使用する設定に変更した場合
(=メールセキュリティー用のポリシーフィルターは設定済)
reject(初期値)
=送受信できない
pass
=送受信可能

透過型ファイアウォールとして使用する場合

[ネットワーク構成]
[設定]
ip policy service group 401 name=MailSec pop3 smtp submission	# (1)
ip policy filter 2200 reject-nolog lan1 * * * *
ip policy filter 2210 pass-nolog * lan2 * * *
ip policy filter 2220 static-pass-nolog * local * * *
ip policy filter 2250 reject-nolog lan2 * * * *
ip policy filter 2260 pass-nolog * lan1 * * *
ip policy filter 2270 static-pass-nolog * local * * *
ip policy filter 2300 static-pass-nolog local * * * *
ip policy filter 3000 reject-nolog * * * * *
ip policy filter 10000 static-pass-nolog * * * * 401		# (2)
ip policy filter 10050 pass-nolog * * * * 401			# (3)
ip policy filter set 101 name="Internet Access" 2200 [2210 [10000] 2220] 2250 [2260 2270] 2300 [10050] 3000	# (4)
ip policy filter set enable 101
[説明]
(1) メールセキュリティーでチェックするアプリケーションを指定します。
mail security port pop/smtpコマンドで設定を変更している場合、本設定にもニーモニックまたはプロトコル/ポート番号の形式で指定します。
(2) (1)で指定したアプリケーションの通信であった場合に静的に通過させます。
(3) (1)で指定したアプリケーションの通信であった場合に通過させます。
(4) FWX120のLAN1インターフェース配下にある端末からLAN2インターフェースを経由する通信で、その通信が(1)で指定したアプリケーションの場合、静的に通過させるように変更します。
また、FWX120自身が送信元の(1)で指定したアプリケーションのコネクションを通過させるように変更します。
LAN1インターフェース配下にメールサーバーを配置し、LAN2インターフェース配下にある端末からメールサーバーと通信する構成の場合は(4)の設定を以下に変更してください。

ip policy filter set 101 name="Internet Access" 2200 [2210 2220] 2250 [2260 [10000] 2270] 2300 [10050] 3000

ルーターとして使用する場合

インターネット上のメールサーバーを利用するとき

[ネットワーク構成]

PPPoEを利用している場合

[設定]
ip policy interface group 101 name=Private local lan1
ip policy address group 101 name=Private 192.168.100.0/24
ip policy address group 102 name=Any *
ip policy service group 101 name="Open Services"
ip policy service group 102 name=General dns
ip policy service group 103 name=Mail pop3 smtp submission
ip policy service group 401 name=MailSec pop3 smtp submission	# (1)
ip policy filter 1100 reject-nolog lan1 * * * *
ip policy filter 1110 pass-nolog * * * * 102
ip policy filter 1122 static-pass-nolog * lan1 * * *
ip policy filter 1123 static-pass-nolog * local * * *
ip policy filter 1124 static-pass-log * * 192.168.100.0/24 * http
ip policy filter 1150 pass-nolog * pp1 * * *
ip policy filter 1500 reject-nolog pp* * * * *
ip policy filter 1520 pass-log * lan1 * * 101
ip policy filter 1700 pass-nolog local * * * *
ip policy filter 1710 static-pass-nolog * lan1 * * *
ip policy filter 3000 reject-nolog * * * * *
ip policy filter 10100 static-pass-nolog * * * * 401		# (2)
ip policy filter set 101 name="Internet Access" 1100 [1110 1123 [1124] 1122 1150 [10100]] 1500 [1520] 1700 [1710] 3000	# (3)
ip policy filter set enable 101
[説明]
(1) メールセキュリティーでチェックするアプリケーションを指定します。
mail security port pop/smtpコマンドで設定を変更している場合、本設定にもニーモニックまたはプロトコル/ポート番号の形式で指定します。
(2) (1)で指定したアプリケーションの通信であった場合に静的に通過させます。
(3) FWX120のLANの配下にある端末からWAN(PP1)を経由する通信で、その通信が(1)で指定したアプリケーションの場合、静的に通過させるように変更します。

CATVを利用している場合

[設定]
ip policy interface group 101 name=Private local lan1
ip policy address group 101 name=Private 192.168.100.0/24
ip policy address group 102 name=Any *
ip policy service group 101 name="Open Services"
ip policy service group 102 name=General dns
ip policy service group 103 name=Mail pop3 smtp submission
ip policy service group 401 name=MailSec pop3 smtp submission	# (1)
ip policy filter 1100 reject-nolog lan1 * * * *
ip policy filter 1110 pass-nolog * * * * 102
ip policy filter 1122 static-pass-nolog * lan1 * * *
ip policy filter 1123 static-pass-nolog * local * * *
ip policy filter 1124 static-pass-log * * 192.168.100.0/24 * http
ip policy filter 1460 pass-nolog * lan2 * * *
ip policy filter 1700 pass-nolog local * * * *
ip policy filter 1710 static-pass-nolog * lan1 * * *
ip policy filter 1900 reject-nolog lan2 * * * *
ip policy filter 1920 pass-log * lan1 * * 101
ip policy filter 3000 reject-nolog * * * * *
ip policy filter 10010 static-pass-nolog * * * * 401		# (2)
ip policy filter set 101 name="Internet Access" 1100 [1110 1123 [1124] 1122 1460 [10010]] 1900 [1920] 1700 [1710] 3000	# (3)
ip policy filter set enable 101
[説明]
(1) メールセキュリティーでチェックするアプリケーションを指定します。
mail security port pop/smtpコマンドで設定を変更している場合、本設定にもニーモニックまたはプロトコル/ポート番号の形式で指定します。
(2) (1)で指定したアプリケーションの通信であった場合に静的に通過させます。
(3) FWX120のLANの配下にある端末からWAN(LAN2)を経由する通信で、その通信が(1)で指定したアプリケーションの場合、静的に通過させるように変更します。

複数プロバイダ(PPPoE, モバイルWAN)の場合

[設定]
ip policy interface group 101 name=Private local lan1
ip policy address group 101 name=Private 192.168.100.0/24
ip policy address group 102 name=Any *
ip policy service group 101 name="Open Services"
ip policy service group 102 name=General dns
ip policy service group 103 name=Mail pop3 smtp submission
ip policy service group 401 name=MailSec pop3 smtp submission	# (1)
ip policy filter 1100 reject-nolog lan1 * * * *
ip policy filter 1110 pass-nolog * * * * 102
ip policy filter 1122 static-pass-nolog * lan1 * * *
ip policy filter 1123 static-pass-nolog * local * * *
ip policy filter 1124 static-pass-log * * 192.168.100.0/24 * http
ip policy filter 1150 pass-nolog * pp1 * * *
ip policy filter 1470 pass-nolog * wan1 * * *
ip policy filter 1500 reject-nolog pp* * * * *
ip policy filter 1520 pass-log * lan1 * * 101
ip policy filter 1700 pass-nolog local * * * *
ip policy filter 1710 static-pass-nolog * lan1 * * *
ip policy filter 2000 reject-nolog wan1 * * * *
ip policy filter 2020 pass-log * lan1 * * 101
ip policy filter 3000 reject-nolog * * * * *
ip policy filter 10020 static-pass-nolog * * * * 401		# (2)
ip policy filter 10100 static-pass-nolog * * * * 401		# (2)
ip policy filter set 101 name="Internet Access" 1100 [1110 1123 [1124] 1122 1150 [10100] 1470 [10020]] 2000 [2020] 1500 [1520] 1700 [1710] 3000	# (3)
ip policy filter set enable 101
[説明]
(1) メールセキュリティーでチェックするアプリケーションを指定します。
mail security port pop/smtpコマンドで設定を変更している場合、本設定にもニーモニックまたはプロトコル/ポート番号の形式で指定します。
(2) (1)で指定したアプリケーションの通信であった場合に静的に通過させます。
(3) FWX120のLANの配下にある端末からPP1またはWAN1インターフェースを経由する通信で、その通信が(1)で指定したアプリケーションの場合、静的に通過させるように変更します。

VPN(IPsec)を経由する場合

[ネットワーク構成]
[設定]
ip policy interface group 101 name=Private local lan1
ip policy address group 101 name=Private 192.168.100.0/24
ip policy address group 102 name=Any *
ip policy service group 101 name="Open Services"
ip policy service group 102 name=General dns
ip policy service group 103 name=Mail pop3 smtp submission
ip policy service group 104 name=IPsec ike esp
ip policy service group 401 name=MailSec pop3 smtp submission	# (1)
ip policy filter 1100 reject-nolog lan1 * * * *
ip policy filter 1110 pass-nolog * * * * 102
ip policy filter 1122 static-pass-nolog * lan1 * * *
ip policy filter 1123 static-pass-nolog * local * * *
ip policy filter 1124 static-pass-log * * 192.168.100.0/24 * http
ip policy filter 1150 pass-nolog * pp1 * * *
ip policy filter 1500 reject-nolog pp* * * * *
ip policy filter 1520 pass-log * lan1 * * 101
ip policy filter 1530 static-pass-nolog * local * * 104
ip policy filter 1600 reject-nolog tunnel* * * * *
ip policy filter 1610 pass-nolog * 101 * * *
ip policy filter 1630 pass-nolog * tunnel* * * *
ip policy filter 1660 pass-log * pp* * * *
ip policy filter 1700 pass-nolog local * * * *
ip policy filter 1710 static-pass-nolog * lan1 * * *
ip policy filter 1720 static-pass-nolog * pp* * * 104
ip policy filter 1711 static-pass-nolog * tunnel* * * *	# (2)
ip policy filter 3000 reject-nolog * * * * *
ip policy filter 10100 static-pass-nolog * * * * 401		# (3)
ip policy filter 10101 static-pass-nolog * * * * 401		# (3)
ip policy filter set 101 name="Internet Access" 1100 [1110 1123 [1124] 1122 1150 [10100]] 1600 [10101 1630 1610 1660] 1500 [1520 1530] 1700 [1710 1711 1720] 3000	# (4)
ip policy filter set enable 101
[説明]
(1) メールセキュリティーでチェックするアプリケーションを指定します。
mail security port pop/smtpコマンドで設定を変更している場合、本設定にもニーモニックまたはプロトコル/ポート番号の形式で指定します。
(2) トンネルインターフェースに対して(1)で指定したアプリケーションの通信であった場合に静的に通過させます。
(3) (1)で指定したアプリケーションの通信であった場合に静的に通過させます。
(4) VPN先の機器のLAN配下にある端末からトンネルインターフェースを経由する通信で、その通信が(1)で指定したアプリケーションの場合、静的に通過させるように変更します。

VPN(IPsec)の接続先にメールサーバーがあるとき

[ネットワーク構成]
[設定]
ip policy interface group 101 name=Private local lan1
ip policy address group 101 name=Private 192.168.100.0/24
ip policy address group 102 name=Any *
ip policy service group 101 name="Open Services"
ip policy service group 102 name=General dns
ip policy service group 103 name=Mail pop3 smtp submission
ip policy service group 104 name=IPsec ike esp
ip policy service group 401 name=MailSec pop3 smtp submission	# (1)
ip policy filter 1100 reject-nolog lan1 * * * *
ip policy filter 1110 pass-nolog * * * * 102
ip policy filter 1122 static-pass-nolog * lan1 * * *
ip policy filter 1123 static-pass-nolog * local * * *
ip policy filter 1124 static-pass-log * * 192.168.100.0/24 * http
ip policy filter 1130 pass-nolog * tunnel* * * *
ip policy filter 1150 pass-nolog * pp1 * * *
ip policy filter 1500 reject-nolog pp* * * * *
ip policy filter 1520 pass-log * lan1 * * 101
ip policy filter 1530 static-pass-nolog * local * * 104
ip policy filter 1600 reject-nolog tunnel* * * * *
ip policy filter 1610 pass-nolog * 101 * * *
ip policy filter 1630 pass-nolog * tunnel* * * *
ip policy filter 1660 reject-nolog * pp* * * *
ip policy filter 1700 pass-nolog local * * * *
ip policy filter 1710 static-pass-nolog * lan1 * * *
ip policy filter 1720 static-pass-nolog * pp* * * 104
ip policy filter 3000 reject-nolog * * * * *
ip policy filter 10001 static-pass-nolog * * * * 401		# (2)
ip policy filter set 101 name="Internet Access" 1100 [1110 1123 [1124] 1122 1150 1130 [10001]] 1600 [1630 1610 1660] 1500 [1520 1530] 1700 [1710 1720] 3000	# (3)
ip policy filter set enable 101
[説明]
(1) メールセキュリティーでチェックするアプリケーションを指定します。
mail security port pop/smtpコマンドで設定を変更している場合、本設定にもニーモニックまたはプロトコル/ポート番号の形式で指定します。
(2) (1)で指定したアプリケーションの通信だった場合、静的に通過させます。
(3) FWX120のLANの配下にある端末からトンネルインターフェース経由する通信で、その通信が(1)で指定したアプリケーションの通信の場合、静的に通過させるように変更します。

L2TP/IPsecを利用してFWX120のLAN側にあるメールサーバーへアクセスする場合

[ネットワーク構成]
[設定]
ip policy interface group 101 name=Private local lan1
ip policy address group 101 name=Private 192.168.100.0/24
ip policy address group 102 name=Any *
ip policy service 400 Mailsec tcp 110 *				#(1)
ip policy service group 101 name="Open Services"
ip policy service group 102 name=General dns
ip policy service group 103 name=Mail pop3 smtp submission
ip policy service group 111 name=L2TP-NAT-T ike esp l2tp ipsec-nat-t
ip policy service group 401 name=MailSec pop3 smtp submission	# (2)
ip policy filter 1100 reject-nolog lan1 * * * *
ip policy filter 1110 pass-nolog * * * * 102
ip policy filter 1122 static-pass-nolog * lan1 * * *
ip policy filter 1123 static-pass-nolog * local * * *
ip policy filter 1124 static-pass-log * * 192.168.100.0/24 * http
ip policy filter 1130 pass-nolog * tunnel* * * *
ip policy filter 1140 pass-nolog * ppanonymous * * *
ip policy filter 1150 pass-nolog * pp1 * * *
ip policy filter 1500 reject-nolog pp* * * * *
ip policy filter 1520 pass-log * lan1 * * 101
ip policy filter 1560 static-pass-nolog * local * * 111
ip policy filter 1600 reject-nolog tunnel* * * * *
ip policy filter 1610 pass-nolog * 101 * * *
ip policy filter 1630 pass-nolog * tunnel* * * *
ip policy filter 1660 reject-nolog * pp* * * *
ip policy filter 1700 pass-nolog local * * * *
ip policy filter 1710 static-pass-nolog * lan1 * * *
ip policy filter 1750 static-pass-nolog * pp* * * 111
ip policy filter 3000 reject-nolog * * * * *
ip policy filter 9300 reject-nolog ppanonymous * * * *
ip policy filter 9301 pass-nolog * 101 * * *
ip policy filter 10001 static-pass-nolog * lan1 * * 401		# (3)
ip policy filter 10002 pass-nolog * lan1 * * 401			# (4)
ip policy filter 10003 static-pass-nolog * ppanonymous * * Mailsec	# (5)
ip policy filter set 101 name="Internet Access" 1100 [1110 1123 [1124] 1122 1150 1140 1130] 1600 [1630 1610 1660] 1500 [1520 9300 [9301 [10001]] 1560] 1700 [1710 [10002] 1750 10003] 3000 # (6)
ip policy filter set enable 101
[説明]
(1) (2)で指定するアプリケーションの応答パケットを指定します。
(2) メールセキュリティーでチェックするアプリケーションを指定します。
mail security port pop/smtpコマンドで設定を変更している場合、本設定にもニーモニックまたはプロトコル/ポート番号の形式で指定します。
(3) (1)で指定したアプリケーションの通信だった場合、静的に通過させます。
(4) FWX120のLAN配下への通信が(2)で指定したアプリケーションの通信だった場合、通過させます。
(5) PPインターフェースを経由するパケットが(2)で指定したアプリケーションの応答パケットだった場合、静的に通過させます。
(6) 外部からL2TP/IPsecで使用しているPPインターフェースを経由する、FWX120のLAN配下の端末への通信が(2)で指定したアプリケーションだった場合、静的に通過させるように変更します。(10001番)
次にFWX120発のパケットで、FWX120のLAN1配下の端末との通信が(2)で指定したアプリケーションだった場合、通過させるようにします。(10002番)
FWX120からメールクライアントへメールセキュリティーでチェックしたメールを静的に通過させます(10003番)

■関連文書


以上