[ヘルプ画面:ファイアウォール機能の適用]

接続設定⇒ファイアウォール機能の適用

ファイアウォール機能の適用

選択可能な接続設定では、選択内容により、以下のように初期設定されます。

	自動切断する	常時接続する
ファイアウォール機能	セキュリティ・レベル3	セキュリティ・レベル5
自動切断	課金単位で自動切断	常時接続
発信制限	あり	なし

[ 選択画面イメージ ]

接続方式

接続方式 (自動切断タイマとセキュリティ・フィルタの初期設定)
自動切断する
常時接続する(自動切断しない,手動切断のみ)

[ 対象となる新規登録 ]

ダイヤルアップ接続設定では、以下のように初期設定されます。

自動切断する

ファイアウォール機能セキュリティ・レベル3

自動切断課金単位で自動切断

発信制限あり

[ 対象となる新規登録 ]
- ISDN回線による端末型プロバイダ接続
- ISDN回線によるネットワーク型プロバイダ接続
ダイヤルアップ接続設定では、以下のように初期設定されます。

常時接続する

ファイアウォール機能セキュリティ・レベル5

自動切断常時接続

発信制限なし

[ 対象となる新規登録 ]
- イーサネット(WANポート)による端末型プロバイダ接続
- 専用線によるネットワーク型プロバイダ接続

「登録の修正」について

設定画面イメージ

ファイアウォール機能の適用
適用方式	ファイアウォール機能を適用しなおす

セキュリティ・レベルを選んで[登録]することにより、ファイアウォール機能のセキュリティ・レベルの変更が可能です。
セキュリティ・レベルの変更か、「ファイアウォール機能を適用しなおす」が選択されると、ファイアウォール機能の接続先ごとの設定をクリアしてから、設定しなおします。
LAN側IPアドレスを変更した場合には、ファイアウォール機能の設定も更新する必要がある場合があります。
LAN側IPアドレスの変更後に通信ができなくなった場合には、「ファイアウォール機能を適用しなおす」をチェックして再設定してください。

「セキュリティ・レベル」について

セキュリティ・レベル
「セキュリティ・レベル1」～「セキュリティ・レベル7」の選択で、ファイアウォール機能を簡単に利用することができます。

セキュリティ・レベルの一覧

セキュリティレベル1:最弱(予期しない発呼

予期しない発呼の静的フィルタを自動適用する。
セキュリティフィルタの設定が必要ないときや、セキュリティフィルタを手動で設定する場合に利用します。

セキュリティレベル2:弱(予期しない発呼+NetBIOS)

予期しない発呼、NetBIOSの静的フィルタを自動適用する。
セキュリティフィルタの設定が必要ないときや、セキュリティフィルタを手動で設定する場合に利用します。
「プライベートアドレスのIngressフィルタ」を適用しないので、プロバイダから付与されるアドレスがプライベートアドレスの場合には、セキュリティ・レベル3の代りに使用します。

セキュリティレベル3:中弱(予期しない発呼+NetBIOS+Ingress)

予期しない発呼、NetBIOS、Ingressの静的フィルタを自動適用する。
セキュリティフィルタの設定が必要ないときや、セキュリティフィルタを手動で設定する場合に利用します。
プロバイダから付与されるアドレスがプライベートアドレスの場合にセキュリティ・レベル2に変更してください。
自動切断機能を利用する設定のとき、初期設定されます。

セキュリティレベル4:中(静的セキュリティフィルタ)

予期しない発呼、NetBIOS、および、静的セキュリティフィルタを自動適用する。
静的セキュリティフィルタを利用します。
「プライベートアドレスのIngressフィルタ」を適用しないので、プロバイダから付与されるアドレスがプライベートアドレスの場合にセキュリティ・レベル5の代りに使用します。

セキュリティレベル5:中強(静的セキュリティフィルタ+Ingress)

予期しない発呼、NetBIOS、Ingress、および、静的セキュリティフィルタを自動適用する。
静的セキュリティフィルタを利用します。
プロバイダから付与されるアドレスがプライベートアドレスの場合には、セキュリティ・レベル4に変更してください。
自動切断しない設定のとき、初期設定されます。

セキュリティレベル6:強(動的セキュリティフィルタ)

予期しない発呼、NetBIOS、および、動的セキュリティフィルタを自動適用する。
動的セキュリティフィルタを利用します。
「プライベートアドレスのIngressフィルタ」を適用しないので、プロバイダから付与されるアドレスがプライベートアドレスの場合にセキュリティ・レベル7の代りに使用します。

セキュリティレベル7:最強(動的セキュリティフィルタ+Ingress)

予期しない発呼、NetBIOS、Ingress、および、動的セキュリティフィルタを自動適用する。
動的セキュリティフィルタを利用します。
プロバイダから付与されるアドレスがプライベートアドレスの場合には、セキュリティ・レベル6に変更してください。

Ingress filtering
1. Ingress filteringは、通常、IPアドレス・スプーフィング系攻撃 (ip spoofing: IPアドレスを偽った攻撃)に対する防御として推奨されるフィルタです。
2. 「セキュリティフィルタ」の説明
  LAN内で利用しているIPアドレスに関するIngressフィルタリングの処理を含んでいます。
3. 「Ingress」の説明
  特にプライベートアドレス(A,B,C)に関するIngerssフィルタリングの処理を意味しています。

よくある攻撃の防御について

ポートスキャン
- 端末型であれば、IPマスカレードにより不要なパケットが破棄されます。
- 不正アクセス検知機能で検出と破棄ができます。
- セキュリティフィルタ(静的セキュリティフィルタ,静的セキュリティフィルタ)で検出と破棄ができます。
IPアドレス・スプーフィング攻撃(ip spoofing)
- IPアドレスを偽った攻撃です。
- Ingress filteringで防御可能です。
smurf攻撃(smurf attak)
- ネットワークアドレス(network address)やブロードキャストアドレス (directed broadcast address)宛ての攻撃です。
- 「ip filter directed-broadcast on」(コンソールコマンド)で運用することにより、防御可能です。
  この設定は、プロバイダ接続設定で、自動適用されます。
- ただし、端末型(IPマスカレード)環境では、外部からのスキャンに IPマスカレードが反応する場合がありますが、内部に通過してくることはありません。
land攻撃(land attak)
- 送信元と受信先のアドレスが同一のパケットを用いた攻撃です。
- Ingress filteringで防御可能です。
そのほかの攻撃
不正アクセス検知機能、 Ingress filtering、静的セキュリティフィルタ、動的セキュリティフィルタなどにより多くの攻撃が防御可能です。

「静的セキュリティフィルタ」について

プロバイダ接続設定に自動適用する「静的フィルタ」を用いたセキュリティ目的のフィルタのことです。

クライアント環境に対する軽微な(日常的な)不正アクセスが防御できます。
LAN内で利用しているIPアドレスに関するIngressフィルタリングを含んでいます。
サーバを公開するといった「外部からのアクセスを通す」とき、少し防御力が落ちます。
静的フィルタは、「動的セキュリティフィルタ」より、フィルタ処理が単純なので、負荷は小さいです。
関連情報
1. ファイアウォール機能 →静的フィルタによるセキュリティ

「動的セキュリティフィルタ」について

プロバイダ接続設定に自動適用する「静的フィルタ」と「動的フィルタ」を用いたセキュリティ目的のフィルタのことです。

サーバが設置された環境などに対する高度な不正アクセスが防御できます。
LAN内で利用しているIPアドレスに関するIngressフィルタリングを含んでいます。
ネットワーク型プロバイダ接続などのサーバを公開するといった「外部からのアクセスを通す」とき、特に防御効果が期待できます。
さらに、個々の環境やファイアウォール機能を高度に理解することにより、セキュリティレベルで自動適用されたパターンより、高いセキュリティを確保することも可能です。
関連情報
1. ファイアウォール機能 →動的フィルタによるセキュリティ

該当する接続形式の一覧

[新規登録]

[登録の修正]-[基本設定]