UTX100/UTX200のファイアウォール許可ポリシーを作成するための手順は以下になります。
※ UTX100、UTX200で同じ手順になります。以下の説明では「UTX」と称します。
※ GUIの画面は、ファームウェアバージョンR80.20.15 (992001680) のキャプチャーになります。
下記のような環境にUTXを導入したい場合、本資料に従い設定を行う必要があります。
ルーターモードの場合は、ファイアウォール許可ポリシーと合わせてNATルールの作成も必要となります。
ファイアウォールに関連するメニューは、Web GUIの【アクセスポリシー】 > 【ファイアウォール】ツリーにあります。
ファイアウォール機能は次のように動作します。
※ デフォルト設定である「標準」ポリシーでの動作です
ファイアウォールポリシーの必須設定項目は以下になります。
「外部アクセスポリシー」は、LANからWAN(インターネット)に向けた通信に対するポリシーです。
ソース | 通信の発信元を指定 |
---|---|
宛先 | 通信の宛先を指定 |
アプリケーション/サービス | アプリケーションコントロール機能で判別されるアプリケーションごとの通信、または通信の宛先URL、通信の宛先ポートを指定 |
アクション | ポリシーに該当する通信を許可するかブロックするかを指定 |
ログ記録 | ポリシーに該当する通信が発生した時、ログを残すか残さないかを指定 |
「着信、内部およびVPNトラフィックポリシー」は、WAN(インターネット)からLANに向けた通信、LAN間の通信、VPNとLAN間の通信に対するポリシーです。
ソース | 通信の発信元を指定 |
---|---|
宛先 | 通信の宛先を指定 |
サービス | 通信の宛先ポートを指定 |
アクション | ポリシーに該当する通信を許可するかブロックするかを指定 |
ログ記録 | ポリシーに該当する通信が発生した時、ログを残すか残さないかを指定 |
「NATルール」の必須設定項目は以下になります。 3>
一般的に「ポートフォワーディング」や「IPマスカレード」などと呼ばれる設定です。パケットの宛先IPアドレスや宛先ポートなどを変換するために利用します。
元のソース | 通信がUTXに到達した際の発信元 |
---|---|
元の宛先 | 通信がUTXに到達した際の宛先 |
元のサービス | 通信がUTXに到達した際の宛先ポート |
変換ソース | 変換した後の発信元 |
変換宛先 | 変換した後の宛先 |
変換サービス | 変換した後の宛先ポート |
ファイアウォールポリシーで利用できる主な事前定義オブジェクトは以下になります。
オブジェクト名 | 意味 | 備考 |
---|---|---|
任意 | 全てのIPアドレス、または全てのポート | 外部アクセスポリシーでは「ソース」と「サービス」で利用可能です 着信、内部、VPNポリシーでは「ソース」「宛先」「サービス」で利用可能です |
This Gateway | UTXのインターフェースが持つIPアドレス | ルーターモードでWAN、DMZ、LANポートのそれぞれが異なるIPアドレスを持っている場合、それら全てが対象となります |
VPN Remote Access | リモートアクセスVPNで接続している端末 | |
インターネット | 外部に対する通信 | 外部アクセスポリシーの「宛先」のみで利用可能です |
LAN Networks | 内部ネットワークのIPアドレス | 内部に複数のネットワークを構成している場合、構成した内部ネットワーク全てが対象となります |
NATルールで利用できる主な事前定義オブジェクトは以下になります。
オブジェクト名 | 意味 | 備考 |
---|---|---|
任意 | 全てのIPアドレス、または全てのポート | 「元のソース」「元の宛先」「元のサービス」で利用可能です |
This Gateway | UTXのインターフェースが持つIPアドレス | 「元の宛先」のみで利用可能です 複数のインターネット接続を構成している場合、それら全てが対象となります |
オリジナル | 元のIPアドレスと同じアドレス、 または元のポートと同じポート | 「変換ソース」「変換宛先」「変換サービス」で利用可能です |
以下の構成例に基づき、外部からWebカメラ等へアクセスを許可する設定を行います。
グローバルIPアドレス | 111.111.10.10 |
---|---|
Webカメラ | 192.168.1.200 |
ポート | TCP/50001 |
グローバルIPアドレス | 222.222.20.20 |
---|---|
使用PC | 192.168.200.15 |
※グローバルIPアドレスはいずれも固定とします
アクション | Drop |
---|---|
ソース | 222.222.20.20 |
宛先 | 192.168.1.200 |
サービス | TCP/50001 |
※このログは、222.222.20.20から192.168.1.200への着信をブロックしたことを表しています。
「3-1. セキュリティーログの確認」にて確認したIPアドレスをオブジェクトとして定義します。
タイプ | 単一IP |
---|---|
IPv4アドレス | 192.168.1.200 |
オブジェクト名 | 任意(例:WebCamera) |
DNSサーバーをこのオブジェクト名に解決 | チェックを外す |
DHCPサービスから除外 | チェックを外す |
「3-1. セキュリティーログの確認」にて確認したポート番号をサービスとして定義します。
名前 | 任意(例:Camera_Port) |
---|---|
タイプ | TCP |
ポート | 任意(例:50001) |
※IPプロトコルで定義するものは タイプ→その他 と指定します。
ソース | アクセス元のオブジェクト |
---|---|
宛先 | アクセス先のオブジェクト |
サービス | 登録したサービスオブジェクト |
アクション | 許可 |
ログ記録 | ログ記録 |
※「3-2. ネットワークオブジェクトの作成」で作成したオブジェクトと、「3-3. サービスの作成」にて作成したサービスを用います。
作成したアクセスポリシーの内容を確認します。
※ ソース、宛先、サービスは、必要に応じて「任意」を選択するケースもあります。
※ 作成したアクセスポリシーの編集や削除を行う場合は、該当ルールをクリックしてから【編集】や【削除】を押します。
※ 削除したアクセスポリシーは元に戻せません。削除する際は注意してください。
本ページの構成例に基づき、外部からWebカメラ等へアクセスを許可する設定を行います。
グローバルIPアドレス | 111.111.10.10 |
---|---|
Webカメラ | 192.168.1.200 |
ポート | TCP/50001 |
グローバルIPアドレス | 222.222.20.20 |
---|---|
使用PC | 192.168.200.15 |
※ グローバルIPアドレスはいずれも固定とします
アクション | Drop |
---|---|
ソース | 222.222.20.20 |
宛先 | 192.168.1.200 |
サービス | TCP/50001 |
※ このログは、222.222.20.20から192.168.1.200への着信をブロックしたことを表しています。
「4-1. セキュリティーログの確認」にて確認したIPアドレスをオブジェクトとして定義します。
タイプ単一 | IP |
---|---|
IPv4アドレス | 192.168.1.200 |
オブジェクト名 | 任意(例:WebCamera) |
DNSサーバーをこのオブジェクト名に解決 | チェックを外す |
DHCPサービスから除外 | チェックを外す |
「4-1. セキュリティーログの確認」にて確認したポート番号をサービスとして定義します。
名前 | 任意(例:Camera_port) |
---|---|
タイプ | TCP |
ポート | 任意(例:50001) |
※IPプロトコルで定義するものは タイプ→その他 と指定します。
ソース | アクセス元のオブジェクト |
---|---|
宛先 | This Gateway |
サービス | サービスを登録したオブジェクト |
アクション | 許可 |
ログ記録 | ログ記録 |
「4-2. ネットワークオブジェクトの作成」と「4-3. サービスの作成」で登録したオブジェクトを用います。
作成したアクセスポリシーの内容を確認します。
※ ソース、宛先、サービスは、必要に応じて「任意」を選択するケースもあります。
※ 作成したアクセスポリシーの編集や削除を行う場合は、該当ルールをクリックしてから【編集】や【削除】を押します。
※ 削除したアクセスポリシーは元に戻せません。削除する際は注意してください。
UTXに着信した通信を、Webカメラへ転送する設定を作成します。
NATルールの各項目を次のように変更します。
元のソース | アクセス元のオブジェクト |
---|---|
元の宛先 | This Gateway |
元のサービス | 登録したサービスオブジェクト |
変換ソース | オリジナル(変更なし) |
変換宛先 | アクセス先のオブジェクト |
変換サービス | オリジナル(変更なし) |
※ 「4-2. ネットワークオブジェクトの作成」と「4-3. サービスの作成」で登録したオブジェクトを用います。
以上で設定は完了です。通信が確立するかテストをお願いします。
正常に通信できている場合、セキュリティーログに通信が許可(Accept)されたログが表示されます。
※日本語には対応していません