本機のフィルタ設定では、接続先ごとに100個までのフ ィルタを設定できます。それぞれのフィルタでパケット の送信元や送信先、パケットの種類、プロトコルの種類、
方向によって、パケットを通さないよう設定できます。
不正なアクセスに使われやすいパケットやあり得ないパ ケットをルータ通過時に破棄するように設定すること で、不正なパケットがLAN内に入ることを防ぐことがで きます。
ただし、高度に偽装したパケットやメールに添付される ウィルス、ActiveX、Javaアプレットなどのように、正 規のパケットとして通過するものは本機のフィルタで防 ぐことはできません。ウィルス検知ソフトウェアやアプ リケーション・ゲートウェイ式ファイアウォールソフト ウェアを併用するようおすすめいたします。
セキュリティを目的とした フィルタ設定の考えかた
フィルタを設定するときは、以下の考えかたを基本にす ると良いでしょう。
LAN側からインターネット側へのアクセス(出力方向)
は原則許可し、 必要に応じて禁止する
LAN側からインターネット側へのアクセスを厳しく規制 すると非常に使いにくいものになり、管理や設定変更に 手間がかかります。原則自由とした上で、問題があれば その部分だけ制限します。
インターネット側からLAN側へのアクセス(入力方向)
は、 原則禁止し、 必要に応じて許可する
インターネット側からLAN側へのアクセスは、原則禁止 して外部からのアクセスを防ぎます。Webサーバの公 開など、必要がある場合にのみ最小限だけ許可します。
n
インターネット側からのアクセスとは、インターネット側 からリクエストが始まったパケットのことを指します。
LAN側からリクエストしたパケットの応答パケット(例:
URLを指定してホームページのデータを要求する)は、該当 しません。応答パケットにはACKフラグという識別子が付 くので、ホームページのデータや電子メールの受信に制限 はありません。
第
5
章
ファ イ アウ ォー ル 機 能 を 使 う
静的フィルタと動的フィルタ
本機で設定できるフィルタには、次の種類があります。
•静的フィルタ:1度設定を行うと、データや通信の有無 にかかわらず常に有効になります。
•動的フィルタ:通信状態を監視しながら、必要に応じ てフィルタが有効になります。例えば「通常はイン ターネットからLANへのデータはすべて禁止にしてお き、LAN側からftpのアクセスが発生したときだけ許 可する」といった設定ができます。
実際に使用する場合は、それぞれの良いところを併用し ながら設定を行います。
「かんたん設定ページ」が自動設定する フィルタ
「かんたん設定ページ」では、各設定に応じて自動的にフ ィルタを適用します。
プロバイダ接続の場合は
フィルタの組み合わせパターンで、7段階のセキュリテ ィレベルを定義しています。
プロバイダの新規登録時に、接続の種類にあわせて以下 の設定を自動的に適用します。セキュリティレベルは、
必要に応じて後で変更することができます。
•自動切断を行う設定:セキュリティレベル3
•常時接続を行う設定:セキュリティレベル6または7
LAN間接続や、リモートアクセスサーバ運用の場合は Netscape Navigatorを終了する際に、自動的にインタ ーネットへの接続を開始してしまう問題を防ぐフィルタ が適用されます。また、Windowsのセキュリティホール に関する定義も自動生成しますので、必要に応じて適用 してください。
LANで運用の場合には
W i n d o w sのN e t B I O Sに よ る 意 図 し な い 発 信 や 、 Windowsのセキュリティホールへのアクセスを防ぐフ ィルタが自動的に適用されます。
n
セキュリティレベルや設定内容は予告なく変更する場合が あります。
フィルタ番号の意味
本機のフィルタ機能の番号は、ほぼ無制限に利用できま すが、かんたん設定ページでは各接続先毎に100個(0番
〜99番)ずつ設定できるようにしています。以下に「かん たん設定ページ」の利用する、フィルタ番号の対応を示 します。
割当領域 コンソールコマンドのフィルタ番号
LAN/WANポート用割当領域 100000〜199999 例)LANポートの静的フィルタ(0〜99) 100000〜100099 WANポートの静的フィルタ(0〜99) 101000〜101099 接続先設定用割当領域 200000〜299999 例)PP01の静的フィルタ(0〜99) 200000〜200099 PP02の静的フィルタ(0〜99) 201000〜201099 :
PP30の静的フィルタ(0〜99) 229000〜229099 Anonymousの静的フィルタ(0〜99) 230000〜230099 フィルタ型ルーティング用割当領域 500000〜599999
n
•セキュリティのために、フィルタの設定変更は機能を十 分にご理解の上、行ってください。
•フィルタを多く適用すると処理が複雑になり、インター ネットへのアクセス速度が遅くなる場合があります。
本機のファイアウォール機能の概要
第
5
章
ファ イ ア ウォ ー ル 機 能 を 使 う 本機の「かんたん設定ページ」では、フィルタを組み合わ
せた7段階のセキュリティレベルが定義されています。
プロバイダの新規登録時に、接続の種類にあわせて自動 的にセキュリティレベルが設定されます。設定されたセ キュリティレベルは、必要に応じてあとから変更するこ ともできます。
1 Web
ブラウザを起動して、本機の「かんたん設定ページ」を開く。
「
http://setup.netvolante.jp/
」または本機のIP
ア ドレス(工場出荷時は192.168.0.1
)を入力して開 きます。「ネットワークパスワードの入力」画面が表示さ れます。
2
[パスワード]入力欄にルータの管理パスワー ドを入力してから、[OK
]をクリックする。「トップ」画面が表示されます。
3
画面左側の[接続設定]をクリックする。4
[プロバイダ接続管理]をクリックする。5
接続先名の[登録の修正]をクリックする。セキュリティレベルを変更する
6
[ファイアウォール機能の適用]の[適用方式]でセキュリティレベルを選んでから、[ファイ アウォール機能を適用しなおす]にチェックを 付ける。
n
•セキュリティレベルの数字が大きくなるほど、適用 されるフィルタが複雑になり、安全性は高くなりま す。ただし、パソコンの設定やお使いのソフトウェ アによっては、インターネットへのアクセスができ なくなったり、制限される場合があります。
•ファイアウォール機能を適用しなおすと、手動設定 されたフィルタも含めてすべてのフィルタがいった んクリアされ、新たに設定されます。
7
[登録]をクリックする。選んだセキュリティレベルに変更されます。
第
5
章
ファ イ アウ ォー ル 機 能 を 使 う
フィルタを設定するには、「かんたん設定ページ」の「フ ァイアウォール機能」画面またはコンソールコマンドを 使用します。