6 フィルタリング機能を使う
本装置を経由するパケットを、MACアドレス、VLAN ID、IPアドレスとポート番号の組み合わせで制御するこ とによって、ネットワークのセキュリティの向上や、ネットワークへの負荷を軽減することができます。
フィルタリングの条件
本装置では、ACL番号で指定したACL定義の中で、以下の条件を指定することによってデータの流れを制御でき ます。
• 送信元MAC情報(MACアドレス)
• あて先MAC情報(MACアドレス)
• VLAN ID
• 送信元情報(IPアドレス/アドレスマスク/ポート番号)
• あて先情報(IPアドレス/アドレスマスク/ポート番号)
• プロトコル
• TCP・UDPのポート番号
• TCP接続要求
• ICMPのTYPE/CODE
• IPパケットのTOS値/DSCP値 適用機種 全機種
機能説明書「2.9 フィルタリング機能」(P.44)
Internet
悪意のある利用者
アクセス禁止サーバ
一般のサーバ ワイヤレス網
ルータ
フィルタリング 遮断
遮断
遮断
透過
意図しない接続
誤ったアクセス
◆IPアドレスとアドレスマスクの決め方
IPフィルタリング条件の要素には「IPアドレス」と「アドレスマスク」があります。制御対象となるパケッ トは、本装置に届いたパケットのIPアドレスとアドレスマスクの論理積の結果が、指定したIPアドレスと一 致したものに限ります。
◆TCP接続要求とは?
TCPプロトコルでのコネクション確立要求を、フィルタリングの対象にするかどうかを指定するものです。
フィルタリングの動作に透過、プロトコルにTCPを指定した場合に有効です。TCPプロトコルはコネクショ ン型であるため、コネクション確立要求を発行し、それに対する応答を受信することによってコネクションを 開設します。そのため、一方からのコネクションを禁止する場合でも、コネクション確立要求だけを遮断し、
その他の応答や通常データなどを透過させるように設定しないと通信できません。
フィルタリングの設計方針
フィルタリングの設計方針には大きく分類して以下の2つがあります。
A. 基本的にパケットをすべて遮断し、特定の条件のものだけを透過させる B. 基本的にパケットをすべて透過させ、特定の条件のものだけを遮断する
ここでは、設計方針Aの例として、以下の設定例について説明します。
• 特定サービスへのアクセスだけを許可する
また、設計方針Bの例として、以下の設定例について説明します。
• 特定サーバへのアクセスだけを禁止してSPIを併用する
• 特定のMACアドレス間の通信だけを禁止する
なお、設定例はデフォルトVLAN(VLAN ID=1)での通信を前提として説明します。
• IPフィルタリングでDHCP(ポート番号67、68)でのアクセスを制限する設定を行った場合、DHCP機能が使用で きなくなる場合があります。
• フィルタリング条件が複数存在する場合、それぞれの条件に優先順位がつき、数値の小さいものから優先的に採用さ れます。設定内容によっては通信できなくなる場合がありますので、優先順位を意識して設定してください。