本装置は、 IPフィルタリング機能やパスワードの設定などを使って、ネットワークのセキュリティを向上させる ことができます。
IPフィルタリング機能とは、本装置を経由してインターネットに送出されるパケット、またはインターネットか ら受信したパケットを IPアドレスとポート番号の組み合わせで制御することによって、ネットワークのセキュリ ティを向上させたり、回線への超過課金を防止することができます。
ネットワークのセキュリティを向上させるには、以下の要素について考える必要があります。
• ネットワークのセキュリティ方針
• ルータ以外の要素(ファイアウォール、ユーザ認証など)
• ProxyDNSを設定している場合、 ProxyDNSに対しての IPフィルタリングを設定しても効果はありません。
• 本装置などのルータでは、 コンピュータウィルスの感染を防ぐことはできません。パソコン側でウィルス対策ソフト を使用するなど、別の手段が必要です。
NAT機能にも、セキュリティを向上させる効果があります。
Internet
悪意のある利用者
法的に好ましくないサーバ
アクセスを許可された利用者
一般のサーバ
IPフィルタリング
意図しない接続
誤ったアクセス
遮断
遮断
遮断
透過
透過
IPフィルタリング機能
50
接続形態に応じてセキュリティ方針を決める
インターネットに接続する場合でも LANどうしを接続する場合でも、データの流れには「外部から内部へ」、「内 部から外部へ」という 2つの方向があります。セキュリティ方針を決める場合は、 2つの方向について考慮する 必要があります。
● 「外部から内部へ」流れるデータに対するセキュリティ方針の例
• インターネット(ネットワーク型接続)の場合 特定のパケットを受け取らないようにする
• インターネットの場合
非公開ホストへのアクセスを拒否する
• LANどうしを接続する(ISDN回線を使用)場合 接続先電話番号が外部に知られたときの対策を立てる
• LANどうしを接続する場合
内部ユーザによる不要なアクセスを防ぐ
● 「内部から外部へ」流れるデータに対するセキュリティ方針の例
• インターネットの場合
法的に問題のあるサイトなどへのアクセスを制限する
• LANどうしを接続する場合
内部ユーザによる不要なアクセスを防ぐ
IPフィルタリングは、「外部から内部へ」流れるデータと「内部から外部へ」流れるデータに対して機能します。内部に あるパソコン間のデータ( LAN内のデータ)に対しては機能しません。
IPフィルタリング機能
51
2.11.1 動的フィルタリング( SPI )
SPIは内部から外部へ通信を開始すると、これに対応するフィルタリングルールを自動的に作成し、外部からの 応答パケットを透過させます。また、フィルタリングルールに対応しない外部から内部への通信を開始したパ ケットを遮断することができます。
SPIによるフィルタリング対象は、構成定義で設定された IPフィルタリングを透過したパケットです。
ブロードキャストアドレスやマルチキャストアドレスあてに SPIでフィルタリングを行うことはできません。 DHCP、
RIPおよび RIPv2などブロードキャストアドレスを用いる通信を SPIと併用する場合は、これらの通信を透過させる フィルタリングルールを設定してください。
BR500S Web設定事例集「 2.15 マルチ NAT機能(アドレス変換機能)を使う」( P.471)、 BR500S コマンド設定事例集「 2.15 マルチ NAT機能(アドレス変換機能) を使う」( P.197)
Internet
外部の悪意の ある利用者 PCからサーバへのパケット
サーバからPCへの応答パケット
透過
遮断 IPフィルタリング
内部から外部へ開始した通信に対応しないパケット
マルチルーティング(ポリシールーティング)機能
52