YAMAHA NetVolante Online Help
?閉じる付加機能
〜★┗ファイアウォール機能
 付加機能⇒ファイアウォール機能(設定)
★FW設定△ ○FW状態△
ファイアウォール機能の設定の確認と変更のための画面です。

注意事項
  • 静的フィルタや動的フィルタの定義や適用の内容が不適切だと 通信不能、設定不能になる場合があります。

表示インタフェース」について
  • 設定を表示しているインタフェースを示しています。
  • 表示インタフェースを切替る場合には、インタフェース名を 選択後、を選びます。
  • 最新状態を表示しなおす場合には、を押します。
不正アクセス検知機能」について
  • それぞれのインタフェースの入力方向と出力方向に「不正アクセス検知機 能」を働かせることができます。
  • 通常は、検知させたい(回線側)インタフェースの入力方向の機能を 有効にします。
  • 検知したパケットを破棄する場合には、 検知機能を有効にした上で、「不正アクセスを検知したときに破棄する」も 有効にします。
  • 登録方法は、必要事項にチェックして、を押します。
フィルタの一覧と適用
フィルタの設定操作
  • の操作が、以下のそれぞれのフィルタ定 義で行なえます。
    1. 静的フィルタ
    2. 動的フィルタ
    3. 動的フィルタのアクセス制御ルール
  • 追加の手順
    フィルタ番号を選び、設定項目を入力して、します。
  • 編集の手順
    フィルタ番号を選び、を押すと、 と同等の入力画面が表示されますので、 変更を加えて登録をします。
  • 削除の手順
    フィルタ番号を選び、します。
  • 初期設定と再設定
    ファイアウォール機能は、接続先の設定が[新規登録]されると自動設定されます。 プロバイダ接続設定の場合は、[登録の修正]でセキュリティ・レベルの変更や 再設定ができます。
    1. プロバイダ接続への自動設定セキュリティ・レベル7の画面例
    2. ISDN回線への自動設定画面例
    3. LANへのの自動設定画面例
  • 静的フィルタの設定手順

    1. 静的フィルタを登録します。
      定義内容は「静的フィルタの定義」を参照。
    2. 静的フィルタを利用する場合には、一覧の適用部分にチェックを 入れて適用します。通常、セキュリティ目的で静的フィルタを利用する場合には、 入力側に適用します。

  • 動的フィルタの設定手順 (プロトコル指定タイプ)

    1. 動的フィルタのプロトコルでtcpやudpなどを選び登録します。
      定義内容は「動的フィルタ」を参照。
    2. 動的フィルタを利用する場合には、一覧の適用部分にチェックを 入れて適用します。通常、セキュリティ目的で動的フィルタを利用する場合には、 出力側に適用します。

  • 動的フィルタの設定手順 (アクセス制御ルール指定タイプ)

    1. 「動的フィルタ用アクセス制御ルール」の設定や一覧で、監視用(トリガー)、 順方向(out)、逆方向(in)に利用する制御ルールを定義する。
      定義内容は「動的フィルタのアクセス制御ルール」を参照。
    2. 動的フィルタのプロトコルで「静的なフィルタ定義の番号リスト でアクセス制御ルールを登録する」を選び、監視用、順方向、 逆方向の制御ルールの番号(0番〜99番)を登録します。
      定義内容は「動的フィルタ」を参照。
    3. 制御ルールの番号を複数登録する場合は、 空白で区切って列挙します。
    4. 動的フィルタを利用する場合には、一覧の適用部分にチェックを 入れて適用します。通常、セキュリティ目的で動的フィルタを利用する場合には、 出力側に適用します。

静的フィルタ」について
  • 静的フィルタは、固定的に動作するフィルタで一度設定するとフィルタが常時有効になります。
  • 詳細な定義項目は「静的フィルタの定義」を参照してください。
動的フィルタ」について
  • 動的フィルタは、通信状態を監視しながら、必要に応じてフィルタ機能を 有効にします。
  • 詳細な定義項目
    • プロトコルは、「プロトコル名(アプリケーション名)」または「アクセス制御ルールの番号」で指定します。
    • プロトコル名(アプリケーション名)は、から選びます。
    • アクセス制御ルールを指定する場合には、プロトコルでを選び、 「監視(監視用アクセス制御ルール)」、 「順方向(順方向制御ルール)」、 「逆方向(逆方向制御ルール)」に登録済のアクセス制御ルールの番号を入力します。
    • アクセス制御ルールの番号を複数指定する場合には、空白文字で区切ります。
    • IPアドレスは「静的フィルタの定義」を参照してください。
動的フィルタのアクセス制御ルール」について
  • 動的フィルタのアクセス制御ルール(パケットのパターン定義)を 静的フィルタの定義情報で登録します。
  • 詳細な定義項目
Ingress filtering (イングレス・フィルタリング)」について

ルータやファイアウォールなどで、確実に不要なパケットを事前にフィルタで 破棄することです。例えば、LANと同じ発信元のIPアドレスのパケットは 外部(WAN)からは受信は有り得ないという前提で外部からのパケットを制限します。

  • Ingress filteringは、通常、IPアドレス・スプーフィング系攻撃 (ip spoofing: IPアドレスを偽った攻撃)に対する防御として推奨される フィルタです。
  • 関連情報
    1. プロバイダ接続への自動設定
NetBIOSフィルタ」について

NetBIOSなどは、Microsoft Windowsのネットワーク環境が便利になる 機能に対する攻撃を防ぐフィルタです。

静的セキュリティフィルタ」について

「静的フィルタ」を用いたセキュリティ目的のフィルタのことです。

  • クライアント環境に対する軽微な(日常的な)不正アクセスが防御できます。
  • プロバイダ接続設定では自動適用され、 簡単にファイアウォール機能が利用できます。
  • サーバを公開するといった「外部からのアクセスを通す」とき、 少し防御力が落ちます。
  • 構築のコツ
    • デフォルト破棄 (必要なものだけ通す)

      1. プライベートアドレスやLAN内で利用しているIPアドレスに関するIngressフィルタリングで、不要な通信を遮断します。
      2. 必要な通信を入力側で通すようにします。
      3. 残りは、破棄されます。
      [ 適用例 ]

    • デフォルト通過 (危険の可能性の高いものだけ破棄する)

      1. プライベートアドレスやLAN内で利用しているIPアドレスに関するIngressフィルタリングで、不要な通信を遮断します。
      2. 不要な通信を入力側で破棄します。
      3. 残りは、通過させるフィルタを設定(適用)します。
      [ 適用例 ]

    • フィルタ番号と静的フィルタ適用順

      • フィルタは、0番〜99番の順に処理されます。
      • 予期しない発呼を防ぐフィルタ、 NetBIOSフィルタIngress フィルタなどの確実に不要であるパケット を破棄する静的フィルタは、できるだけ小さい番号に設定します。

  • 関連情報
    1. プロバイダ接続への自動設定
動的セキュリティフィルタ」について

「静的フィルタ」と「動的フィルタ」を用いたセキュリティ目的のフィルタのことです。

  • サーバが設置された環境などに対する高度な不正アクセスが防御できます。
  • プロバイダ接続設定では自動適用され、 簡単にファイアウォール機能が利用できます。
  • ネットワーク型プロバイダ接続などのサーバを公開するといった「外部からのアクセスを通す」とき、 特に防御効果が期待できます。
  • 構築のコツ
    • デフォルト破棄 (必要なものだけ通す)

      1. プライベートアドレスやLAN内で利用しているIPアドレスに関するIngressフィルタリングで、不要な通信を遮断します。
      2. 動的フィルタで対象外でるなどの必要な通信を静的フィルタの入力側で通すよう にします。
        icmpや公開サーバに対する接続要求など
      3. 必要な通信を動的フィルタの出力側で通すようにします。
        ftpやsmtpなどの通信など
      4. 残り(必要のないもの)は、破棄されます。
      [ 適用例 ]

    • フィルタ番号と静的フィルタの適用順

      • フィルタは、0番〜99番の順に処理されます。
      • 予期しない発呼を防ぐフィルタ、 NetBIOSフィルタIngress フィルタなどの確実に不要であるパケット を破棄する静的フィルタは、できるだけ小さい番号に設定します。

    • フィルタ番号と動的フィルタの適用順

      • フィルタは、0番〜99番の順に処理されます。
      • 厳しい条件の動的フィルタは、できるだけ小さい番号に設定し、 緩い条件の動的フィルタは、できるだけ大きい番号に設定します。

  • 関連情報
    1. プロバイダ接続への自動設定
関連するヘルプ情報