ファイアウォール許可ポリシーの設定手順

UTX100/UTX200のファイアウォール許可ポリシーを作成するための手順は以下になります。

  1. 設定例
  2. ファイアウォールの基本情報
  3. 構成例(ブリッジモード)
  4. 構成例(ルーターモード)
  5. 通信確認
  6. メッセージのカスタマイズ

※ UTX100、UTX200で同じ手順になります。以下の説明では「UTX」と称します。
※ GUIの画面は、ファームウェアバージョンR80.20.15 (992001680) のキャプチャーになります。

1. 設定例

下記のような環境にUTXを導入したい場合、本資料に従い設定を行う必要があります。

ルーターモードの場合は、ファイアウォール許可ポリシーと合わせてNATルールの作成も必要となります。

2. ファイアウォールの基本情報

ファイアウォールに関連するメニューは、Web GUIの【アクセスポリシー】 > 【ファイアウォール】ツリーにあります。

  1. 「ブレードコントロール」メニュー
    ファイアウォールの全般設定
  2. 「ポリシー」メニュー
    ファイアウォールアクセスポリシーの設定
  3. 「NAT」メニュー
    NAT ルールの設定

ファイアウォール機能は次のように動作します。

※ デフォルト設定である「標準」ポリシーでの動作です

  1. アウトバウンド通信(LAN→WAN)は、ブロック対象でない限り許可します
  2. インバウンド通信(WAN→LAN)は、許可しない限りブロックします
  3. ステートフル・インスペクションが有効です

2-1. 必須設定項目

ファイアウォールポリシーの必須設定項目は以下になります。

外部アクセスポリシー

「外部アクセスポリシー」は、LANからWAN(インターネット)に向けた通信に対するポリシーです。

ソース通信の発信元を指定
宛先通信の宛先を指定
アプリケーション/サービスアプリケーションコントロール機能で判別されるアプリケーションごとの通信、または通信の宛先URL、通信の宛先ポートを指定
アクションポリシーに該当する通信を許可するかブロックするかを指定
ログ記録ポリシーに該当する通信が発生した時、ログを残すか残さないかを指定

着信、内部およびVPNトラフィックポリシー

「着信、内部およびVPNトラフィックポリシー」は、WAN(インターネット)からLANに向けた通信、LAN間の通信、VPNとLAN間の通信に対するポリシーです。

ソース通信の発信元を指定
宛先通信の宛先を指定
サービス通信の宛先ポートを指定
アクションポリシーに該当する通信を許可するかブロックするかを指定
ログ記録ポリシーに該当する通信が発生した時、ログを残すか残さないかを指定

NATルール

「NATルール」の必須設定項目は以下になります。

一般的に「ポートフォワーディング」や「IPマスカレード」などと呼ばれる設定です。パケットの宛先IPアドレスや宛先ポートなどを変換するために利用します。

元のソース通信がUTXに到達した際の発信元
元の宛先通信がUTXに到達した際の宛先
元のサービス通信がUTXに到達した際の宛先ポート
変換ソース変換した後の発信元
変換宛先変換した後の宛先
変換サービス変換した後の宛先ポート

2-2. 事前定義オブジェクト

ファイアウォールポリシーで利用できる主な事前定義オブジェクトは以下になります。

オブジェクト名意味備考
任意全てのIPアドレス、または全てのポート外部アクセスポリシーでは「ソース」と「サービス」で利用可能です
着信、内部、VPNポリシーでは「ソース」「宛先」「サービス」で利用可能です
This GatewayUTXのインターフェースが持つIPアドレスルーターモードでWAN、DMZ、LANポートのそれぞれが異なるIPアドレスを持っている場合、それら全てが対象となります
VPN Remote AccessリモートアクセスVPNで接続している端末
インターネット外部に対する通信外部アクセスポリシーの「宛先」のみで利用可能です
LAN Networks内部ネットワークのIPアドレス内部に複数のネットワークを構成している場合、構成した内部ネットワーク全てが対象となります

NATルールで利用できる主な事前定義オブジェクトは以下になります。

オブジェクト名意味備考
任意全てのIPアドレス、または全てのポート「元のソース」「元の宛先」「元のサービス」で利用可能です
This GatewayUTXのインターフェースが持つIPアドレス「元の宛先」のみで利用可能です
複数のインターネット接続を構成している場合、それら全てが対象となります
オリジナル元のIPアドレスと同じアドレス、
または元のポートと同じポート		「変換ソース」「変換宛先」「変換サービス」で利用可能です

3. 構成例(ブリッジモード)

以下の構成例に基づき、外部からWebカメラ等へアクセスを許可する設定を行います。

3-1. セキュリティーログの確認

  1. UTXのGUIにログインします
  2. 左のメニューから【ログ&モニタリング】 > 【セキュリティログ】とメニューを開きます
  3. 次のようなDropログが上がっているかを確認します
    アクションDrop
    ソース222.222.20.20
    宛先192.168.1.200
    サービスTCP/50001

    ※このログは、222.222.20.20から192.168.1.200への着信をブロックしたことを表しています。

3-2. ネットワークオブジェクトの作成

「3-1. セキュリティーログの確認」にて確認したIPアドレスをオブジェクトとして定義します。

  1. 左のメニューから【ユーザ&オブジェクト】 > 【ネットワークオブジェクト】 とメニューを開きます
  2. 【新規】をクリックします
  3. アクセス先(ウェブカメラ)の情報を登録します
    タイプ単一IP
    IPv4アドレス192.168.1.200
    オブジェクト名任意(例:WebCamera)
    DNSサーバーをこのオブジェクト名に解決チェックを外す
    DHCPサービスから除外チェックを外す
  4. 【適用】をクリックして登録します
  5. アクセス元(事務所)の情報も同様に登録します

3-3. サービスの作成

「3-1. セキュリティーログの確認」にて確認したポート番号をサービスとして定義します。

  1. 左のメニューから【ユーザ&オブジェクト】 > 【サービス】 とメニューを開きます
  2. 【新規】をクリックします
  3. アクセス先が利用するポート番号を登録します
    名前任意(例:Camera_Port)
    タイプTCP
    ポート任意(例:50001)

    ※IPプロトコルで定義するものは タイプ→その他 と指定します。

  4. 【適用】をクリックして登録します

3-4. アクセスポリシーの追加

  1. ポリシールールの作成
    1. 左のメニューから 【アクセスポリシー】 > 【ポリシー】とメニューを開きます
    2. 「着信、内部およびVPNトラフィック」の【新規】をクリックします
    3. 各項目を次のように変更します
      ソースアクセス元のオブジェクト
      宛先アクセス先のオブジェクト
      サービス登録したサービスオブジェクト
      アクション許可
      ログ記録ログ記録

      ※「3-2. ネットワークオブジェクトの作成」で作成したオブジェクトと、「3-3. サービスの作成」にて作成したサービスを用います。

    4. 【適用】をクリックします
  2. 追加したアクセスポリシーの確認

    作成したアクセスポリシーの内容を確認します。

    ※ ソース、宛先、サービスは、必要に応じて「任意」を選択するケースもあります。
    ※ 作成したアクセスポリシーの編集や削除を行う場合は、該当ルールをクリックしてから【編集】や【削除】を押します。
    削除したアクセスポリシーは元に戻せません。削除する際は注意してください。

4. 構成例(ルーターモード)

本ページの構成例に基づき、外部からWebカメラ等へアクセスを許可する設定を行います。

4-1. セキュリティーログの確認

  1. UTXのGUIにログインします
  2. 左のメニューから【ログ&モニタリング】 > 【セキュリティログ】とメニューを開きます
  3. 次のようなDropログが上がっているかを確認します
    アクションDrop
    ソース222.222.20.20
    宛先192.168.1.200
    サービスTCP/50001

    ※ このログは、222.222.20.20から192.168.1.200への着信をブロックしたことを表しています。

4-2. ネットワークオブジェクトの作成

「4-1. セキュリティーログの確認」にて確認したIPアドレスをオブジェクトとして定義します。

  1. 左のメニューから【ユーザ&オブジェクト】 > 【ネットワークオブジェクト】 とメニューを開きます
  2. 【新規】をクリックします
  3. アクセス先(ウェブカメラ)の情報を登録します
    タイプ単一IP
    IPv4アドレス192.168.1.200
    オブジェクト名任意(例:WebCamera)
    DNSサーバーをこのオブジェクト名に解決チェックを外す
    DHCPサービスから除外チェックを外す
  4. 【適用】をクリックして登録します
  5. アクセス元(事務所)の情報も同様に登録します

4-3. サービスの作成

「4-1. セキュリティーログの確認」にて確認したポート番号をサービスとして定義します。

  1. 左のメニューから【ユーザ&オブジェクト】 > 【サービス】 とメニューを開きます
  2. 【新規】をクリックします
  3. アクセス先が利用するポート番号を登録します
    名前任意(例:Camera_port)
    タイプTCP
    ポート任意(例:50001)

    ※IPプロトコルで定義するものは タイプ→その他 と指定します。

  4. 【適用】をクリックして登録します

4-4. アクセスポリシーの追加

  1. ポリシールールの作成
    1. 左のメニューから 【アクセスポリシー】 > 【ポリシー】とメニューを開きます
    2. 「着信、内部およびVPNトラフィック」の【新規】をクリックします
    3. 各項目を次のように変更します
      ソースアクセス元のオブジェクト
      宛先This Gateway
      サービスサービスを登録したオブジェクト
      アクション許可
      ログ記録ログ記録

      「4-2. ネットワークオブジェクトの作成」と「4-3. サービスの作成」で登録したオブジェクトを用います。

    4. 【適用】をクリックします
  2. 追加したアクセスポリシーの確認

    作成したアクセスポリシーの内容を確認します。

    ※ ソース、宛先、サービスは、必要に応じて「任意」を選択するケースもあります。
    ※ 作成したアクセスポリシーの編集や削除を行う場合は、該当ルールをクリックしてから【編集】や【削除】を押します。
    削除したアクセスポリシーは元に戻せません。削除する際は注意してください。

4-5. NATルールの作成

UTXに着信した通信を、Webカメラへ転送する設定を作成します。

  1. NATルールの新規追加
    1. 左のメニューから【アクセスポリシー】 > 【NAT】 とメニューを開きます
    2. 【NATルールの表示】をクリックします
    3. 【新規】をクリックします
  2. NATルール各項目の設定

    NATルールの各項目を次のように変更します。

    元のソースアクセス元のオブジェクト
    元の宛先This Gateway
    元のサービス登録したサービスオブジェクト
    変換ソースオリジナル(変更なし)
    変換宛先アクセス先のオブジェクト
    変換サービスオリジナル(変更なし)

    ※ 「4-2. ネットワークオブジェクトの作成」と「4-3. サービスの作成」で登録したオブジェクトを用います。

  3. 【適用】をクリックし、登録します

5. 通信確認

以上で設定は完了です。通信が確立するかテストをお願いします。

正常に通信できている場合、セキュリティーログに通信が許可(Accept)されたログが表示されます。

6. メッセージのカスタマイズ

  1. 左のメニューから 【アクセスポリシー】 > 【ポリシー】とメニューを開きます
  2. 「メッセージのカスタマイズ」をクリックすると、「確認」画面、「許可して通知」画面、「ブロックして通知」画面のメッセージ内容を変更できます

    ※日本語には対応していません

[EOF]