「表示インタフェース」について
|
|
「不正アクセス検知機能」について
|
|
フィルタの一覧と適用
|
|
フィルタの設定操作
|
|
「静的フィルタ」について
|
- 静的フィルタは、固定的に動作するフィルタで一度設定するとフィルタが常時有効になります。
- 詳細な定義項目は「静的フィルタの定義」を参照してください。
|
「動的フィルタ」について
|
|
「動的フィルタのアクセス制御ルール」について
|
- 動的フィルタのアクセス制御ルール(パケットのパターン定義)を
静的フィルタの定義情報で登録します。
- 詳細な定義項目
|
「Ingress filtering (イングレス・フィルタリング)」について
|
ルータやファイアウォールなどで、確実に不要なパケットを事前にフィルタで
破棄することです。例えば、LANと同じ発信元のIPアドレスのパケットは
外部(WAN)からは受信は有り得ないという前提で外部からのパケットを制限します。
- Ingress filteringは、通常、IPアドレス・スプーフィング系攻撃
(ip spoofing: IPアドレスを偽った攻撃)に対する防御として推奨される
フィルタです。
- 関連情報
- プロバイダ接続への自動設定
|
「NetBIOSフィルタ」について
|
NetBIOSなどは、Microsoft Windowsのネットワーク環境が便利になる
機能に対する攻撃を防ぐフィルタです。
- OS側の防御が不十分であることが多く、
攻撃の対象となりやすい通信です。
- Microsoft Windows/NetBIOS関係の防御対象
IPプロトコル | ポート番号 |
RTシリーズ表記 | 説明 |
TCP,UDP | 135 |
| DCE準拠RPC |
UDP | 137 |
netbios_ns | NetBIOSの名前解決 |
UDP | 138 |
netbios_dgm | NetBIOSのデータグラム転送 |
TCP | 139 |
netbios_ssn | NetBIOSのストリームデータ転送 |
TCP,UDP | 445 |
| Direct Hosting of SMB |
- 関連情報
- プロバイダ接続への自動設定
- ISDN回線への自動設定
- LANへのの自動設定
|
「静的セキュリティフィルタ」について
|
「静的フィルタ」を用いたセキュリティ目的のフィルタのことです。
- クライアント環境に対する軽微な(日常的な)不正アクセスが防御できます。
- プロバイダ接続設定では自動適用され、
簡単にファイアウォール機能が利用できます。
- サーバを公開するといった「外部からのアクセスを通す」とき、
少し防御力が落ちます。
- 構築のコツ
- デフォルト破棄 (必要なものだけ通す)
- プライベートアドレスやLAN内で利用しているIPアドレスに関するIngressフィルタリングで、不要な通信を遮断します。
- 必要な通信を入力側で通すようにします。
- 残りは、破棄されます。
[ 適用例 ]
- デフォルト通過 (危険の可能性の高いものだけ破棄する)
- プライベートアドレスやLAN内で利用しているIPアドレスに関するIngressフィルタリングで、不要な通信を遮断します。
- 不要な通信を入力側で破棄します。
- 残りは、通過させるフィルタを設定(適用)します。
[ 適用例 ]
- フィルタ番号と静的フィルタ適用順
- 関連情報
- プロバイダ接続への自動設定
|
「動的セキュリティフィルタ」について
|
「静的フィルタ」と「動的フィルタ」を用いたセキュリティ目的のフィルタのことです。
- サーバが設置された環境などに対する高度な不正アクセスが防御できます。
- プロバイダ接続設定では自動適用され、
簡単にファイアウォール機能が利用できます。
- ネットワーク型プロバイダ接続などのサーバを公開するといった「外部からのアクセスを通す」とき、
特に防御効果が期待できます。
- 構築のコツ
- デフォルト破棄 (必要なものだけ通す)
- プライベートアドレスやLAN内で利用しているIPアドレスに関するIngressフィルタリングで、不要な通信を遮断します。
- 動的フィルタで対象外でるなどの必要な通信を静的フィルタの入力側で通すよう
にします。
icmpや公開サーバに対する接続要求など
- 必要な通信を動的フィルタの出力側で通すようにします。
ftpやsmtpなどの通信など
- 残り(必要のないもの)は、破棄されます。
[ 適用例 ]
- フィルタ番号と静的フィルタの適用順
- フィルタ番号と動的フィルタの適用順
- フィルタは、0番〜99番の順に処理されます。
- 厳しい条件の動的フィルタは、できるだけ小さい番号に設定し、
緩い条件の動的フィルタは、できるだけ大きい番号に設定します。
- 関連情報
- プロバイダ接続への自動設定
|
関連するヘルプ情報
|
|