動的にアクセスを許可するフィルタリングを設定する

フィルタリング機能だけではなく、他のセキュリティ手法も加えて、ネットワークセキュリティ を向上させることをお勧めします。

 設定の流れ

（ 1 ）

フィルタを設計する

どのようなアクセスを許可し、どのようなアクセスを遮断するのかを決めます。

（ 2 ）

^{フィルタを設定する}

設計に基づき、フィルタの設定を行います。

（ 3 ）

設定を保存する

すべての設定を保存します。

 設定手順

（ 1 ）フィルタを設計する

次のようなアクセス制限を行うものとします。

A. 内部から外部に対するアクセスはFTPのみ許可 B. 外部からSEILへのアクセスはICMP以外すべて禁止

C. 外部から内部のホストへのアクセスはA．によるもの以外はすべて禁止 これを実現するためには、次のようなフィルタが必要になります。

a. LANに割り当てているグローバルアドレス空間(172.16.0.0/24)から外部に対するFTPを 使ったアクセスをすべて通す動的フィルタ

b. 外部からSEIL(10.0.0.1)に対するICMPによるアクセスをすべて通すフィルタ c. 外部からのアクセスをすべて遮断するフィルタ

FTPはあらかじめ21番ポートを用いて接続したあとにサーバ-クライアント間で通信を行って互 いに合意したポートをデータ転送に使用するため、静的フィルタでは上記のようなアクセス制限 を行うことは不可能です。そのため、a．にて動的フィルタ機能を用います。

※ 許可したいアクセスがc. のフィルタで遮断されてしまわないように、c. のフィルタの優先 順位を1番低くする必要があります。

※ フィルタの処理はNAT/NAPT処理が行われたあとに実行されます。NAT/NAPT機能を使用 している場合は、グローバルアドレスではなくNAT/NAPT変換後のアドレスに対してフィ ルタをかける必要があります。

（ 2 ）フィルタを設計する

さい。

SEILに管理者アカウントでログインし、a.のフィルタを追加します。以下の設定を行ってく だい。

設定項目 パラメータ フィルタ名 ftppass アクション pass インターフェイス pppoe0

方向 out

プロトコル tcp 送信元IPアドレス 172.16.0.0/24

ポート番号 21 動的フィルタ設定 enable

ログの取得 off 優先順位 top

有効/無効 enable

■ 記述例

¶ ³

# filter add ftppass action pass interface pppoe0 direction out protocol tcp src 172.16.0.0/24 dstport 21 state enable logging off top enable

µ ´

■ パラメータ解説 filter add ftppass

フィルタ名として「ftppass」を設定します。

action pass

続けて、アクションとして、条件に合致したパケットのアクセスを許可するため「pass」 を設定します。

interface pppoe0

続けて、インターフェイスとして「pppoe0」を設定します。

direction out

続けて、方向として、対象が内部から外部へのアクセスであるため「out」を設定し ます。

src 172.16.0.0/24 dstport 21

続 け て 、送 信 元 IP ア ド レ ス と し て 、LAN 側 の グ ロ ー バ ル ア ド レ ス で あ る

「172.16.0.0/24」を設定します。ネットマスク長の値は、LAN側のネットワークを指

定するため「24」となります。さらに、送信先ポート番号として「21」を設定します。

state enable

続けて、動的フィルタ機能を有効にするため「state enable」を設定します。

logging off

続けて、ログの取得は行わないため「off」を設定します。

top

続けて、優先順位として、最優先にするため「top」を設定します。

enable

続けて、設定を有効にするため「enable」を設定します。

b.のフィルタを設定する場合、以下の設定を行ってください。

設定項目 パラメータ フィルタ名 icmppass アクション pass インターフェイス pppoe0

方向 in

プロトコル icmp 送信先IPアドレス 10.0.0.1/32

ログの取得 off

優先順位 below ftppass (aの次)

有効/無効 enable

■ 記述例

¶ ³

# filter add icmppass action pass interface pppoe0 direction in protocol icmp dst 10.0.0.1/32 logging off below ftppass enable

µ ´

■ パラメータ解説

filter add icmppass

フィルタ名として「icmppass」を設定します。

続けて、インターフェイスとして「pppoe0」を設定します。

direction in

続けて、方向として、対象が外部から内部へのアクセスであるため「in」を設定します。

protocol icmp

続けて、プロトコルとして、対象がICMPを使ったアクセスであるため「icmp」を設 定します。

dst 10.0.0.1/32

続けて、送信先IPアドレスとして、SEILのグローバルアドレスである「10.0.0.1/32」 を設定します。ネットマスク長の値は、ネットワークではなくSEIL自身を指定する ため「32」となります。

logging off

続けて、ログの取得は行わないため「off」を設定します。

below ftppass

続けて、優先順位として、a．のフィルタよりも優先順位を低くするため「below ftppass」を設定します。

enable

続けて、設定を有効にするため「enable」を設定します。

c.のフィルタを設定する場合、以下の設定を行ってください。

設定項目 パラメータ フィルタ名 allblock アクション block インターフェイス pppoe0

方向 in

プロトコル any ログの取得 off

優先順位 bottom

有効/無効 enable

■ 記述例

¶ ³

# filter add allblock action block interface pppoe0 direction in protocol any logging off bottom enable

µ ´

■ パラメータ解説

filter add allblock

フィルタ名として「allblock」を設定します。

action block

続けて、アクションとして、条件に合致したパケットのアクセスを遮断するため

「block」を設定します。

interface pppoe0

続けて、インターフェイスとして「pppoe0」を設定します。

direction in

続けて、方向として、対象が外部から内部へのアクセスであるため「in」を設定します。

protocol any

続けて、プロトコルとして、a.からc.までのフィルタの対象とならなかったすべての パケットを遮断するため「any」を設定します。

logging off

続けて、ログの取得は行わないため「off」を設定します。

bottom

続けて、優先順位として、a．からb．までのフィルタよりも優先順位を低くするため

「bottom」を設定します。

enable

続けて、設定を有効にするため「enable」を設定します。

（ 3 ）設定を保存する

すべての設定が終了したら、save-toコマンドにより設定内容の保存をします。詳細は、 ^ó–

［6.3.1設定内容の保存・読込・取得¤ ¡

£P.62¢^{］をご覧ください。}

以上でフィルタの設定は完了です。変更した設定内容はバックアップをとっておくことをお勧め します。

ドキュメント内 CS-SEIL-510/C ユーザーズガイド コマンドラインインターフェイス編 (ページ 130-136)