ファイアウォールとSmartDefense

(1)

ファイアウォールと

_SmartDefense

NGX R65 バージョン

(2)

(3)

All rights reserved. 本製品および関連ドキュメントは著作権法によって保護されており、その使用、複写、逆コンパイルを制限するライセンス契約に基づいて配布されています。本製品または関連ドキュメントのいかなる部分も、チェック・ポイントの書面による事前承諾を得ない限り、いかなる形態や方法によっても複製することはできません。本マニュアルを製作するにあたっては細心の注意が払われていますが、チェック・ポイントはいかなる誤りまたは欠落に対しても一切責任を負いません。本マニュアルおよびその記述内容は、予告なく変更される場合があります。権利の制限米国政府による本製品の使用、複写、または開示は、DFARS（連邦国防調達規定）252.227-7013 および FAR（連邦調達規定）52.227-19 の技術データおよびコンピュータ・ソフトウェアに関する権利条項（c）（1）（ii）により制限されます。商標

2003-2007 Check Point Software Technologies Ltd. All rights reserved.Check Point、AlertAdvisor、Application Intelligence、Check Point Endpoint Security、Check Point Express、Check Point Express CI、Check Point のロゴ、ClusterXL、Confidence Indexing、ConnectControl、Connectra、Connectra Accelerator Card、Cooperative Enforcement、Cooperative Security Alliance、CoreXL、CoSa、DefenseNet、Dynamic Shielding Architecture、Eventia、Eventia Analyzer、Eventia Reporter、Eventia Suite、FireWall-1、FireWall-1 GX、FireWall-1 SecureServer、FloodGate-1、Hacker ID、Hybrid Detection Engine、IMsecure、INSPECT、INSPECT XL、Integrity、 Integrity Clientless Security、Integrity SecureClient、InterSpect、IPS-1、IQ Engine、MailSafe、NG、NGX、Open Security Extension、OPSEC、OSFirewall、Pointsec、 Pointsec Mobile、Pointsec PC、Pointsec Protector、Policy Lifecycle Management、Provider-1、PURE Security、puresecurity のロゴ、Safe@Home、Safe@Office、 SecureClient、SecureClient Mobile、SecureKnowledge、SecurePlatform、SecurePlatform Pro、SecuRemote、SecureServer、SecureUpdate、SecureXL、SecureXL Turbocard、Security Management Portal、Sentivist, SiteManager-1、SmartCenter、SmartCenter Express、SmartCenter Power、SmartCenter Pro、SmartCenter UTM、SmartConsole、SmartDashboard、SmartDefense、SmartDefense Advisor、Smarter Security、SmartLSM、SmartMap、SmartPortal、SmartUpdate、SmartView、 SmartView Monitor、SmartView Reporter、SmartView Status、SmartViewTracker、SMP、SMP On-Demand、SofaWare、SSL Network Extender、Stateful Clustering、 TrueVector、Turbocard、UAM、UserAuthority、User-to-Address Mapping、UTM-1、UTM-1 Edge、VPN-1、VPN-1 Accelerator Card、VPN-1 Edge、VPN-1 Express、 VPN-1 Express CI、VPN-1 Power、VPN-1 Power VSX、VPN-1 Pro、VPN-1 SecureClient、VPN-1 SecuRemote、VPN-1 SecureServer、VPN-1 UTM、VPN-1 VSX、 Web Intelligence、ZoneAlarm、ZoneAlarm Anti-Spyware、ZoneAlarm Antivirus、ZoneAlarm ForceField、ZoneAlarm Internet Security Suite、ZoneAlarm Pro、ZoneAlarm Secure Wireless Router、Zone Labs、および Zone Labs のロゴは、Check Point Software Technologies Ltd. あるいはその関連会社の商標または登録商標です。 ZoneAlarm is a Check Point Software Technologies, Inc. Company. 本書に記載されているその他の製品名は、各所有者の商標または商標登録です。本書に記載された製品は米国の特許No. 5,606,668、5,835,726、5,987,611、6,496,935、6,873,988、6,850,943 および 7,165,076 により保護されています。また、その他の米国における特許やその他の国における特許で保護されているか、出願中の可能性があります。

(4)

(5)

序文

本書の対象読者... 16 本書の内容... 17 セクション1：ネットワーク・アクセス ... 17 セクション2：接続性 ... 18 セクション3： SmartDefense... 19 セクション4： Application Intelligence ... 20 セクション5： Web セキュリティ ... 21 セクション6：付録... 21 関連ドキュメント... 22 関連情報... 25 ドキュメントに関するご意見... 26

ネットワーク・アクセス

第

1 章

アクセス制御

アクセス制御の必要性... 30 安全なアクセス制御のためのソリューション... 31 ネットワークの境界におけるアクセス制御... 31 ルール・ベース... 32 アクセス制御ルールの例... 33 ルール・ベース要素... 33 暗黙ルール... 34 IP スプーフィングの防止 ... 35 マルチキャスト・アクセス制御... 37 協調施行... 40

End Point Quarantine（EPQ）- Intel® AMT ... 42

アクセス制御に関する特別な考慮事項... 43 スプーフィング保護... 43 簡潔性... 43 基本ルール... 44 ルールの順序... 44 トポロジに関する考慮事項： DMZ... 44 X11 サービス... 45 暗黙ルールの編集... 45 アクセス制御の設定... 46

(6)

アンチ・スプーフィングの設定... 48

マルチキャスト・アクセス制御の設定... 49

協調施行の設定... 51

End Point Quarantine（EPQ）- Intel® AMT の設定 ... 51

EPQ の有効化... 51 接続認証データ... 52 ポリシー・データの隔離... 53 パスワードの暗号化... 54 不正な行動に対するスクリプトと警告... 54 アクティビティのログ記録... 56 手動によるコンピュータの隔離... 56

第

2 章

認証

認証の必要性... 58 認証のためのVPN-1 ソリューション... 59 VPN-1 認証の概要 ... 59 認証スキーム... 60 認証方式... 62 認証の設定... 71 ユーザとグループの作成... 71 ユーザ認証の設定... 73 セッション認証の設定... 74 クライアント認証の設定... 78 認証トラッキングの設定... 84 VPN-1 ゲートウェイの RADIUS 使用の設定 ... 85 RADIUS サーバ・グループを使用したユーザ・アクセス権の付与... 87 RADIUS サーバと VPN-1 ゲートウェイの関連付け... 88 VPN-1 ゲートウェイの SecurID 使用の設定 ... 89 VPN-1 ゲートウェイの TACACS+ 使用の設定 ... 91 Windows ユーザ・グループ用のポリシーの設定... 92

接続性

第

3 章

ネットワーク・アドレス変換（

NAT）

IP アドレスを隠蔽することの必要性 ... 96 チェック・ポイント・ソリューションによるネットワーク・アドレス変換... 97 パブリックおよびプライベートIP アドレス ... 97 VPN-1 の NAT ... 98 Static NAT ... 99

(7)

内部ネットワーク用の自動Hide NAT... 102 アドレス変換ルール・ベース... 103 双方向NAT... 104 自動生成ルールについて... 105 ポート変換... 107 NAT とアンチ・スプーフィング ... 107 ルーティングの問題... 107 VPN トンネルでの NAT の無効化 ... 109 NAT の計画での考慮事項 ... 110 Hide 対 Static... 110 自動ルールと手動ルール... 110 Hide NAT による隠匿アドレスの選択... 111 NAT の設定... 112 NAT 設定の一般的な手順 ... 112 基本設定（ネットワーク・ノードのHide NAT）... 113

設定例（Static NAT と Hide NAT）... 114

設定例（ポート変換に手動ルールを使用する）... 116 内部ネットワーク用の自動Hide NAT の設定 ... 117 NAT の詳細設定... 118 異なるゲートウェイ・インタフェース上の変換されたオブジェクト間の通信の許可... 118 重複IP アドレスを使用する内部ネットワーク間通信の有効化... 119 NAT の背後の SmartCenter... 123 IP プール NAT ... 127

第

4 章

ISP の冗長性

ISP リンクの冗長性の必要性 ... 134 ISP リンクの冗長性のためのソリューション ... 135 ISP の冗長性の概要... 135 ISP の冗長性の動作モード... 136 ISP リンクの監視 ... 137 ISP の冗長性の仕組み ... 137 ISP の冗長性スクリプト ... 139 リンクのステータスの手動変更（fw isp_link）... 139 ISP の冗長性の導入... 140 ISP の冗長性と VPN ... 144 ISP リンクの冗長性に関する考慮事項 ... 146 導入方法の選択... 146 冗長性モードの選択... 146 ISP リンクの冗長性の設定 ... 147 ISP リンクの冗長性の設定について ... 147 ドメインの登録とIP アドレスの取得 ... 147

(8)

着信接続のためのダイヤルアップ・リンクの設定... 149 SmartDashboard の設定... 149 ISP の冗長性ゲートウェイのデフォルト・ルートの設定... 152

第

5 章

ConnectControl - サーバの負荷分散

サーバの負荷分散の必要性... 154 サーバの負荷分散のためのConnectControl ソリューション... 155 ConnectControl について ... 155 負荷分散方式... 156 ConnectControl のパケットの流れ... 157 論理サーバのタイプ... 157 永続サーバ・モード... 160 サーバの可用性... 162 負荷の測定... 162 ConnectControl の設定 ... 163

第

6 章

ブリッジ・モード

ブリッジ・モードについて... 166 ブリッジ・モードの制限... 167 ブリッジ・モードのゲートウェイの管理... 167 ブリッジ・モードの設定... 168 インタフェースのブリッジ... 168 アンチ・スプーフィングの設定... 169 ブリッジ設定の表示... 169

SmartDefense

第

7 章

SmartDefense

SmartDefense の必要性 ... 174 SmartDefense ソリューション... 175 SmartDefense について ... 175 次世代の脅威に対する防御... 176 ネットワーク層とトランスポート層... 177 Web 攻撃の保護 ... 177 SmartDefense の機能... 178 オンライン・アップデート... 179 SmartDefense 機能の分類... 179 SmartDefense プロファイル ... 181

(9)

SmartDefense 保護機能に対する日本語のサポート... 183 SmartDefense の単一プロファイル・ビュー... 184 Denial of Service ... 185 IP および ICMP ... 186 TCP ... 186 Fingerprint Scrambling ... 187 Successive Events ... 187

DShield Storm Center ... 187

Port Scan... 188 Dynamic Ports ... 188 Application Intelligence ... 189 Mail... 189 FTP... 189 Microsoft Networks... 189 Peer-to-Peer... 190 Instant Messengers ... 190 DNS... 190 VoIP... 190 SNMP ... 191 Web Intelligence ... 192 Web Intelligence の保護機能 ... 192 Web Intelligence の技術 ... 193

Web Intelligence と ClusterXL ゲートウェイ・クラスタ ... 193

Web コンテンツの保護 ... 194 カスタマイズ可能なエラー・ページ... 194 接続性とセキュリティの考慮事項... 195 Web セキュリティのパフォーマンスについての考慮事項 ... 197 HTTP プロトコル・インスペクションの下位互換性オプション ... 199 Web Intelligence ライセンスの実施 ... 200 HTTP セッション、接続、および URL について ... 201 SmartDefense の設定 ... 204 最新の防御機能でのSmartDefense アップデート... 204 SmartDefense サービス ... 205 Download Updates ... 205 Advisories... 206

Security Best Practices ... 207

SmartDefense プロファイルの設定 ... 208

プロファイルの作成... 208

ゲートウェイへのプロファイルの割り当て... 208

(10)

侵入検知での協調作業の必要性... 210 Storm Center 統合のためのチェック・ポイント・ソリューション ... 211 計画時の注意事項... 215 Storm Center 統合の設定 ... 216

Application Intelligence

第

8 章

コンテンツ検査

ウイルス対策... 222 統合されたウイルス対策について... 222 アーキテクチャ... 223 統合されたウイルス・スキャンの設定... 223 データベースのアップデート... 224 通信方向によるスキャンとIP によるスキャンについて ... 225 通信方向によるスキャン：スキャンするデータの選択... 229 ファイル形式の認識... 231 継続的ダウンロード... 232 ログと監視... 233 ファイル・サイズの制限とスキャン... 234 VPN-1 UTM Edge のウイルス対策... 236 Web フィルタリング ... 237 Web フィルタリングについて... 237 用語... 238 アーキテクチャ... 238 Web フィルタリングの設定 ... 239

第

9 章

VoIP（Voice Over IP）のセキュリティ

Voice Over IP のセキュリティの必要性 ... 242 VoIP のセキュリティを保護するチェック・ポイント・ソリューションについて... 243 シグナリングとメディア・プロトコルの制御... 244 VoIP のハンドオーバー ... 245 ハンドオーバーを実施する場合... 246

VoIP Application Intelligence ... 247

VoIP Application Intelligence について... 247

VoIP ドメインを使用したハンドオーバー・ロケーションの制限 ... 248

シグナリングとメディア接続の制御... 249

(11)

プロトコル固有のセキュリティ... 252

SIP ベースの VoIP のセキュリティ... 253

セキュリティ・ルール・ベースにおけるSIP の構成要素 ... 254

サポートされるSIP の RFC と標準 ... 255

セキュリティで保護されたSIP トポロジと NAT のサポート... 256

SIP の Application Intelligence ... 258

SIP に対する SmartDefense Application Intelligence... 259

ユーザ情報の同期... 261 SIP サービス ... 261 デフォルトでないポートでのSIP の使用 ... 262 SIP に対する ClusterXL とマルチキャストのサポート... 262 SIP ベースのインスタント・メッセンジャのセキュリティ ... 262 SIP ベースの VoIP の設定 ... 263 SIP のトラブルシューティング... 272 H.323 ベースの VoIP のセキュリティ ... 273 セキュリティ・ルール・ベース内のH.323 構成要素 ... 273 サポートされるH.323 の RFC と標準 ... 274 セキュリティで保護されたH.323 トポロジと NAT のサポート... 274 H.323 の Application Intelligence... 277

H.323 の SmartDefense Application Intelligence の設定 ... 278

H.323 サービス... 280 H.323 ベース VoIP の設定... 281 MGCP ベースの VoIP のセキュリティ... 297 MGCP の必要性 ... 297 MGCP プロトコルとデバイス... 298 MGCP ネットワーク・セキュリティと Application Intelligence... 299 セキュリティで保護されたMGCP トポロジと NAT のサポート... 301 ユーザ情報の同期... 302 MGCP ベースの VoIP の設定 ... 303 SCCP ベースの VoIP のセキュリティ... 305 SCCP プロトコル... 305 SCCP デバイス ... 306 SCCP ネットワーク・セキュリティと Application Intelligence ... 306 ClusterXL の SCCP サポート ... 307 SCCP ベースの VoIP の設定... 307

第

10 章

インスタント・メッセンジャのセキュリティ

インスタント・メッセンジャのセキュリティを保護する必要性... 314 インスタント・メッセンジャのセキュリティについて... 315 インスタント・メッセンジャのセキュリティについて... 316 SIP ベースの MSN メッセンジャーの NAT サポート... 317 MSNMS ベースの MSN メッセンジャーの NAT サポート ... 318

(12)

SIP ベースのインスタント・メッセンジャの設定 ... 319

MSNMS ベースの MSN メッセンジャーの設定 ... 321

Skype、Yahoo、ICQ およびその他のインスタント・メッセンジャの設定 ... 322

第

11 章

Microsoft Networking Services（CIFS）のセキュリティ

Microsoft Networking Services（CIFS）の保護 ... 324

サーバと共有へのアクセス制限（CIFS リソース）... 325

第

12 章

FTP セキュリティ

FTP コンテンツ・セキュリティについて ... 328 VPN-1 カーネルによる FTP の実施... 328 FTP セキュリティ・サーバによる FTP の実施... 329 許可されたプロトコル・コマンドの制御... 329 保護された他のサービスの完全性の維持... 329 FTP アプリケーションの脆弱性の回避... 329 FTP リソースによるコンテンツ・セキュリティ ... 330 特定ディレクトリへのアクセス制限の設定... 331

第

13 章

コンテンツ・セキュリティ

コンテンツ・セキュリティの必要性... 334 コンテンツ・セキュリティのためのチェック・ポイント・ソリューション... 335 コンテンツ・セキュリティについて... 335 セキュリティ・サーバ... 336 OPSEC サーバの導入 ... 337 ウイルス対策と悪意のあるコンテンツ保護用のCVP サーバ... 339 URL フィルタリングを使用した Web 利用者の制限 ... 342 TCP セキュリティ・サーバ ... 345 コンテンツ・セキュリティの設定... 346 リソースの定義と使用方法... 346 リソースの作成とルール・ベースでの使用... 347 着信電子メールに対するウイルス対策検査の設定... 348 Web トラフィックの CVP 検査の設定によるパフォーマンスの改善... 350 UFP サーバを使用した URL フィルタリングの設定 ... 350 任意のTCP サービスに対する CVP または UFP 検査の実施... 354 CVP の詳細設定： CVP のチェーン化と負荷共有... 355 CVP のチェーン化と負荷共有について ... 355 CVP のチェーン化... 355 CVP 負荷共有... 357 CVP のチェーン化と負荷共有の組み合わせ ... 358 CVP のチェーン化と負荷共有の設定... 358

(13)

Application Intelligence によるサービスについて ... 362 DCE-RPC ... 362 SSLv3 サービス... 363 SSHv2 サービス ... 363 FTP_BASIC プロトコル・タイプ... 363 Domain_UDP サービス ... 364 ポイント・ツー・ポイント・トンネリング・プロトコル（PPTP）... 365 PPTP の設定 ... 365 ビジター・モード（TCPT）のブロッキング ... 367 TCPT について... 367 ビジター・モードと発信TCPT を遮断する理由 ... 367 VPN-1 が TCPT を識別する方法 ... 367 発信TCPT を遮断するタイミング ... 367 ビジター・モードのブロッキングの設定... 368

Web セキュリティ

第

15 章

Web コンテンツの保護

Web コンテンツの保護について ... 372 セキュリティ・ルール・ベースを使用したWeb コンテンツ・セキュリティ... 373 URI リソースとは... 373 発信元と宛先別のURL、方式、およびメソッドのフィルタリング ... 373 基本的URL フィルタリング ... 374 URL のロギング ... 374 Java と ActiveX セキュリティ... 375 XML Web サービス（SOAP）のセキュリティ ... 376 HTTP セッション、接続、および URL について... 377 HTTP 要求の例... 377 HTTP 応答の例... 378 HTTP 接続... 378 URL について ... 379 Web 利用者に対する接続性とセキュリティについての考慮事項... 380 コンテンツの許可または制限... 380 コンテンツ圧縮... 381 HTTP セキュリティ・サーバのパフォーマンスに影響を与える要因 ... 382 同時セキュリティ・サーバ接続の数... 382 HTTP セキュリティ・サーバの複数インスタンスを実行する方法 ... 383

(14)

URI リソースの使用による URL ベース攻撃の遮断 ... 384 URL ロギングの設定 ... 385 基本的URL フィルタリングの設定... 386

付録

A

VPN-1 を有効にする前のセキュリティ

VPN-1 を有効にする前のセキュリティの確保 ... 390 ブート・セキュリティ... 390 起動時のIP 転送の制御... 390 デフォルト・フィルタ... 391 初期ポリシー... 393 デフォルト・フィルタと初期ポリシーの設定... 396 デフォルト・フィルタまたは初期ポリシーがロードされていることの確認.... 396 デフォルト・フィルタのドロップ・フィルタへの変更... 397 ユーザ定義のデフォルト・フィルタ... 397 メンテナンス時のデフォルト・フィルタの使用... 398 デフォルト・フィルタまたは初期ポリシーをアンロードするには... 398 インストール後に再起動できない場合... 398 デフォルト・フィルタと初期ポリシーのコマンド・ライン参照... 399

付録

B

コマンドライン・インタフェース

索引

... 411

(15)

序文

P

序文この章の構成本書の対象読者 16 ページ本書の内容 17 ページ関連ドキュメント 22 ページ関連情報 25 ページドキュメントに関するご意見 26 ページ

(16)

本書の対象読者

本書は、ポリシー管理やユーザ・サポートなど、企業内でネットワーク・セキュリティの保守を担当する管理者を対象にしています。本書では、以下の基本事項を理解していることを前提にしています。 • システム管理 • 基本オペレーティング・システム • インターネット・プロトコル（IP、TCP、UDP など）

(17)

本書の内容

本書では、VPN-1 のファイアウォールおよび SmartDefense コンポーネントについて説明します。本書は以下のセクションと章で構成されています。

セクション

1：ネットワーク・アクセス

このセクションでは、保護されたネットワークに、許可されたユーザとリソースだけがアクセスできるようにして、VPN-1 ゲートウェイの背後にあるネットワークをセキュリティで保護する方法について説明します。章説明第1 章「アクセス制御」組織の要件に適したセキュリティ・ポリシーを設定する方法について説明します。第2 章「認証」 VPN-1 認証スキーム（ユーザ名とパスワードの管理方法）と認証方式（ユーザが自分自身を認証する方法）について説明します。

(18)

セクション

2：接続性

このセクションでは、ゲートウェイを介して無制限でかつ安全な接続性を社内のユーザとリソースに提供する方法について説明します。章説明第3 章「ネットワーク・アドレス変換（NAT）」 IPアドレスを異なるIPアドレスに置き換える、ネットワーク・アドレス変換（NAT）プロセスについて説明します。 NAT はパケットの発信元 IP と宛先 IP の両方のアドレスを変更でき、セキュリティと管理の両方の目的で使用されます。第4 章「ISP の冗長性」単一のまたはクラスタ化されたVPN-1 ゲートウェイが、冗長なインターネット・サービス・プロバイダ（ISP）のリンクを使用してインターネットに接続できるようにすることで、信頼性の高いインターネット接続性を保証する ISP の冗長性機能について説明します。第5 章「ConnectControl - サーバの負荷分散」ネットワーク・トラフィックを複数のサーバに分散することで、単一のマシンの負荷を軽減し、ネットワークの応答時間を短縮し、さらに可用性を高めることができる ConnectControl サーバの負荷分散ソリューションについて説明します。

(19)

セクション

3： SmartDefense

このセクションでは、SmartDefense の概要について説明します。顧客はこの VPN-1 コンポーネントを使用して、ネットワークおよびアプリケーションに対する攻撃の防御を設定、適用、および更新できます。このセクションでは、DShield StormCenter についても詳しく説明します。具体的な保護方法の詳細については、SmartDefense の HTML ページとオンラインヘルプを参照してください。章説明第7 章「SmartDefense」セキュリティ・ルール・ベースで明示的に保護が定義されていない場合でも、積極的にネットワークを保護する SmartDefense コンポーネントについて説明します。 SmartDefense はネットワーク内の活動を妨げることなく動作を分析し、潜在的な脅威となるイベントをトラッキングして必要に応じて通知を送信します。SmartDefense はインテリジェントなセキュリティ技術を使用して、すべての既知のネットワーク攻撃および未知のさまざまな攻撃から組織を守ります。

(20)

セクション

4： Application Intelligence

このセクションでは、Check Point Application Intelligence 機能について説明します。Check Point Application Intelligence 機能は VPN-1 と SmartDefense に統合された高度な機能のセットであり、これらの機能によってアプリケーション・レベルの攻撃を検出して防ぐことができます。このセクションでは、アプリケーション・プロトコルごとにアプリケーション・レベルの攻撃から保護する方法、およびアンチウィルス（CVP）と URL フィルタリング（UFP）の使用方法について説明します。章説明第8 章「コンテンツ検査」ウイルス対策技術が統合されているゲートウェイについて説明します。ウイルス対策は、HTTP、FTP、SMTP、およびPOP3 プロトコルに対応しています。各プロトコルのオプションは一元的に設定できます。

第9 章「VoIP（Voice Over IP）のセキュリティ」 H.323、SIP、MGCP、および SCCP 環境で VoIP トラフィックを保護する方法について説明します。第10 章「インスタント・メッセンジャのセキュリティ」 SIP ベースのインスタント・メッセンジャと MSN メッセンジャー・アプリケーションを保護する方法について説明します。第11 章「Microsoft Networking Services（CIFS）のセキュリティ」サーバと共有へのアクセスを制限してMicrosoft Networking Services（CIFS）を保護する方法について説明します。第12 章「FTP セキュリティ」 FTP コンテンツ・セキュリティを提供し、特定ディレクトリへのアクセス制限を設定する方法について説明します。第13 章「コンテンツ・セキュリティ」サード・パーティ製のOPSEC 認定ウイルス対策アプリケーションおよびURL フィルタリング・アプリケーションと統合する方法について説明します。第14 章「Application Intelligence によるサービス」コンテンツを検査する、一部の事前定義済みTCP サービスに対する保護機能を設定する方法について説明します。

(21)

セクション

5： Web セキュリティ

このセクションでは、Web サーバとアプリケーションに対して高性能な攻撃防御を提供する VPN-1

のWeb Intelligence 機能、および VPN-1 の Web コンテンツの機能について説明します。

セクション

6：付録

このセクションでは、VPN-1 ゲートウェイがゲートウェイ自体とネットワークを保護する方法、およびVPN-1 コマンドライン・インタフェース・コマンドの概要について説明します。

章説明

第15 章「Web コンテンツの保護」セキュリティ・ルール・ベースを使用して設定される統合 Web セキュリティ機能、および Web サーバ上の XML Web

サービス（SOAP）を保護する方法について説明します。付録説明付録 A 「VPN-1 を有効にする前のセキュリティ」コンピュータにVPN-1 セキュリティ・ポリシーがインストールされていない場合に使用される、ブート・セキュリティおよび初期ポリシー機能について説明します。付録 B 「コマンドライン・インタフェース」 VPN-1 のファイアウォール・コンポーネントに関連するコマンドライン・インタフェース・コマンドについて説明します。

(22)

ドキュメントに関するご意見

チェック・ポイントは継続的にドキュメントの改善に努めています。ご意見やご要望がありましたら、遠慮なく以下の宛先までお送りください。

(27)

ネットワーク・アクセス

このセクションでは、許可されたユーザとリソースだけが保護されたネットワークにアクセスできるようにして、VPN-1 ゲートウェイの背後にあるネットワークをセキュリティで保護する方法について説明します。

(28)

(29)

第章

1

アクセス制御

この章の構成アクセス制御の必要性 30 ページ安全なアクセス制御のためのソリューション 31 ページアクセス制御に関する特別な考慮事項 43 ページアクセス制御の設定 46 ページ

(30)

アクセス制御の必要性

ネットワーク管理者には、ネットワーク、ホスト、ネットワーク・サービス、プロトコルなどのリソースへのアクセスを厳重に制御する手段が必要です。アクセス制御（認証）は、アクセスできる

リソース、およびリソースへのアクセス方法を決定する機能です。ユーザ認証は、これらのリソース

(31)

安全なアクセス制御のためのソリューション

このセクションの構成

ネットワークの境界におけるアクセス制御

ネットワークの境界にあるVPN-1 ゲートウェイは、ゲートウェイを通過するすべてのトラフィックを検査してアクセス制御を行います。ゲートウェイを通過しないトラフィックは制御されません。図 1-1 ネットワーク境界での VPN-1 ゲートウェイ・トラフィック検査 ネットワークの境界におけるアクセス制御 31 ページルール・ベース 32 ページアクセス制御ルールの例 33 ページルール・ベース要素 33 ページ暗黙ルール 34 ページ IP スプーフィングの防止 35 ページマルチキャスト・アクセス制御 37 ページ協調施行 40 ページ

(32)

セキュリティ管理者は、企業のセキュリティ・ポリシーを実施する責任があります。 VPN-1 を使用すると、管理者は、複数のゲートウェイにわたってセキュリティ・ポリシーを一貫して実施できます。このためには、管理者はSmartDashboard を使用して企業全体のセキュリティ・ポリシー・ルール・ベースを定義し、SmartCenter サーバにインストールします。 SmartDashboard は、管理者がセキュリティ・ポリシーを定義してゲートウェイに適用するために使用するSmartConsole クライアント・アプリケーションです。特定のルールを特定のゲートウェイに適用することにより、セキュリティ・ポリシーをきめ細かく管理できます。 VPN-1 は、ネットワークを通過するすべてのサービスとアプリケーションをきめ細かく解析することにより、安全なアクセス制御を可能にします。ステートフル・インスペクション技術は150 以上の事前定義済みアプリケーション、サービス、およびプロトコルについてアプリケーション層までの情報を認識し、包括的なアクセス制御を提供し、さらにカスタム・サービスを指定および定義する機能も提供します。ステートフル・インスペクションは、すべてのアプリケーション・レベルからセキュリティ判断に必要な状態情報を抽出し、以降の接続の試みを検査するのに使用されるダイナミック・ステート・テーブル内でこの情報を管理します。ステートフル・インスペクションの詳細な技術情報については、

次のCheck Point Technical Note を参照してください。

http://www.checkpoint.com/products/downloads/firewall-1_statefulinspection.pdf

ルール・ベース

セキュリティ・ポリシーは、セキュリティ・ルール・ベース内でルールの集合として作成されます。明確に定義されたセキュリティ・ポリシーは、効果的なセキュリティ・ソリューションに不可欠です。ルール・ベースの基本原則は、「明示的に許可されないすべてのアクションは禁止する」です。ルール・ベースは、どの通信トラフィックを許可して、どのトラフィックを遮断するかを決定するルールの集合です。ルール・パラメータには、通信の発信元と宛先、使用可能なサービスとプロトコル、通信を許可する時刻、トラッキング・オプションが含まれます。 SmartView Tracker のトラフィック・ログと警報を参照することは、重要なセキュリティ管理事項です。 VPN-1 はパケットを順番に検査します。 VPN-1 は接続のパケットを受け取ると、それをルール・ベースの最初のルール、2 番目のルール、3 番目のルールと順番に検査します。 VPN-1 は適用可能なルールを検出すると、検査を停止して、そのルールをパケットに適用します。ルール・ベースで適用可能なルールが見つからない場合、パケットは遮断されます。適用されるルールは必ずしも最も一致するルールではなく、最初に一致するルールであることに注意してください。

(33)

アクセス制御ルールの例

図1-2は典型的なアクセス制御ルールを示しています。このルールは、任意の Alaska_LAN グループ・ホストから任意の宛先に発信されたHTTP 接続を許可し、ログに記録します。図 1-2 アクセス制御ルールの例

ルール・ベース要素

ルールは、以下のルール・ベース要素で構成されています（すべてのフィールドが特定のルールに定義されるわけではありません）。表 1-1 ルール・ベース要素 Source と Destination 接続の発信元と宛先を指します。クライアント・サーバ・モデルで動作するアプリケーションでは、Source はクライアント、Destination はサーバです。接続が許可されると、接続を介して転送されるパケットは双方向に自由に通過します。 Source と Destination パラメータの否定をとることができます。つまり、特定のルールは、指定した場所を除く、すべての接続のSource/Destination に適用されます。たとえば、 Source が特定のネットワークに含まれないと指定する方が便利な場合があります。接続の Source または Destination の否定をとるには、該当するルールのセルを右クリックして、オプション・メニューから［Negate Cell］を選択します。 VPN 暗号化の有無に関わらずルールをすべての接続に適用するか、VPN 接続にのみ適用するかを設定できます。ルールをVPN接続に限定するには、該当するルールをダブルクリックして、 2 つの VPN オプションのいずれかを選択します。 Service ルールを特定の事前定義済みプロトコル、サービス、またはアプリケーションに適用できます。新しいカスタム・サービスを定義できます。

Action パケットを許可(Accept)、拒否 (Reject)、または破棄 (Drop) するかどうかを決定します。接続が拒否されると、VPN-1 は RST パケットを接続の発信元に送信し、接続を閉じます。パケットが破棄されると応答は送信されず、接続は最後に時間切れになります。認証に関するアクションの詳細については、第2 章「認証」を参照してください。 Track 各種のログ記録オプションを指定します（詳細については、『SmartCenter』を参照してください）。 Install-On ルールをインストールするVPN-1 ゲートウェイを指定します。特定のルールをすべての VPN-1 ゲートウェイで実施する必要はありません。たとえば、特定のネットワーク・サービスは特定のゲートウェイのみを通過させるルールを作成できます。この場合、特定のルールを他のゲートウェイにインストールする必要はありません（詳細については、『SmartCenter』を参照してください）。 Time このルールを実施する日付と時刻を指定します。

(34)

暗黙ルール

VPN-1 は、管理者が定義するルール以外に［Policy］>［Global Properties］で定義される暗黙のルールも作成します。暗黙のルールにより、各種機能を使用するために必要なゲートウェイを発着信する通信が許可されます。暗黙のルールの例としては、VPN-1 制御接続と VPN-1 ゲートウェイからの発信パケットを許可するルールがあります。 VPN-1 の暗黙ルールをルール・ベースの最初（First）、最後（Last）、または最後の前（Before Last）に位置し、ログに記録できます。ルールは以下の順序で処理されます。 1. 最初のルール：最初のルールは常にパケットに適用されます。他のルールを前に置くことができないため、このルールはルール・ベースで変更または上書きできません。 2. 明示的ルール：これらは、管理者が定義するルールで、最初のルールと最後から 2 番目のルールの間に置くことができます。 3. 最後の前のルール：最後のルールが適用される前に実施する、より具体的なルールです。 4. n 番目のルール：最後に定義されたルールです。 5. 最後のルール：ルール・ベース内の最後のルールの後で実施されるルールで、通常、すべてのパケットを拒否し、何も影響を与えません。 6. 暗黙の破棄ルール：ログに記録されません。

(35)

IP スプーフィングの防止

IP スプーフィングは、高いアクセス権を持つネットワーク・ノードからパケットが発生したかのように見せるため、パケットのIP アドレスを変更し、許可されていないアクセス権を侵入者が取得しようとする手法です。注： すべての通信が明確な発信元から発生しているかどうかを確認することが重要です。 アンチ・スプーフィング保護は、パケットがゲートウェイの正しいインタフェースに発着信することを検証します。アンチ・スプーフィング保護は、パケットが指定された内部ネットワーク・インタフェースから送信されているかを確認します。また、パケットがルーティングされた後、それが適切なインタフェースを通過することを検証します。外部インタフェースから来たパケットが偽の内部IP アドレスを持っていても、VPN-1 のアンチ・スプーフィング機能が不正なインタフェースから来たことを検知するので遮断されます。図1-3にアンチ・スプーフィング・プロセスの仕組みを示します。図 1-3 アンチ・スプーフィング・プロセス Alaska_GW では、VPN-1 は以下のことを確認します。 • インタフェースIF1 へのすべての着信パケットはインターネットから送信されている。 • インタフェースIF2 へのすべての着信パケットは Alaska_LAN、Alaska_RND_LAN、または Florida_LAN から送信されている。

(36)

Alaska_RND_GW では、VPN-1 は以下のことを確認します。 • インタフェースIF3 へのすべての着信パケットは Alaska_LAN、Florida_LAN、またはインターネットから送信されている。 • インタフェースIF4 へのすべての着信パケットは Alaska_RND_LAN から送信されている。アンチ・スプーフィングを設定する場合は、インタフェース・トポロジの定義でインタフェースがインターネットに接続されている（External として定義する）か、内部ネットワークに接続されている（Internal として定義する）か指定する必要があります。図1-3に、ゲートウェイ・インタフェースがインタフェース・トポロジ定義の内部または外部のどちらであるかを示します。

アンチ・スプーフィング保護から特定の内部アドレスを除外

状況によっては、内部ネットワークに属する送信元アドレスを持つパケットを、外部インタフェース経由でゲートウェイに送信できるようにする必要があります。これは、外部アプリケーションが内部IP アドレスを外部クライアントに割り当てる場合に役立つことがあります。この場合、指定した内部ネットワークからのパケットに対してアンチ・スプーフィング・チェックを行わないように指定できます。たとえば、図1-3では、Alaska_RND_LAN に含まれる発信元アドレスのパケットをインタフェースIF1 に送信できるように指定できます。

適正なアドレスとは

適正なアドレスとは、VPN-1 ゲートウェイ・インタフェースへの入力を許可されるアドレスです。適正なアドレスはネットワーク・トポロジによって決まります。 VPN-1 アンチ・スプーフィング保護を設定する場合、管理者はインタフェースの背後にある適正なIP アドレスを指定します。［Get

Interfaces with Topology］オプションは、自動的にインタフェースとそのトポロジを定義し、ネッ

トワーク・オブジェクトを作成します。VPN-1 は、ルーティング・テーブルのエントリを読み取ることによってこの情報を取得します。

追加情報

アンチ・スプーフィング保護の計画の詳細については、43 ページの「スプーフィング保護」を参照してください。アンチ・スプーフィングの設定の詳細については、48 ページの「アンチ・スプーフィングの設定」を参照してください。

(37)

マルチキャスト・アクセス制御

マルチキャスト

IP について

マルチキャストIP を使用すると、1 つのメッセージを定義済みの受信者のグループに送信することができます。例としては、分散型の会議に参加している一連のホストへのリアルタイムのオーディオやビデオの配信があります。マルチキャストは、選択した周波数にチューナを合わせて情報を受信するラジオやテレビに似ています。マルチキャストでは興味のあるチャンネルだけを聞き、他のチャンネルは聞きません。 IP マルチキャスト・アプリケーションは、各データグラムの 1 つのコピー（IP パケット）を受信したいコンピュータのグループ宛に送信します。この方法では、データグラムを1 人の受信者（ユニキャスト・アドレス）ではなく、受信者のグループ（マルチキャスト・アドレス）に送信します。ネットワーク内のルータは、データグラムを必要としているルータとホストにのみ転送します。 IETF（Internet Engineering Task Force）で、以下を定義するマルチキャスト通信標準が開発されています。 • マルチキャスト・ルーティング・プロトコル • 動的な登録 • IP マルチキャスト・グループのアドレス指定

マルチキャスト・ルーティング・プロトコル

マルチキャスト・ルーティング・プロトコルは、マルチキャスト・グループ間で情報を伝達します。マルチキャスト・ルーティング・プロトコルの例として、PIM（Protocol-Independent Multicast）、 DVMRP（Distance Vector Multicast Routing Protocol）、MOSPF（Multicast Extensions to OSPF）などがあります。マルチキャストIP について 37 ページマルチキャスト・ルーティング・プロトコル 37 ページ IGMP を使用した動的な登録 38 ページ IP マルチキャスト・グループのアドレス指定 38 ページインタフェースごとのマルチキャストの制限 39 ページ

(38)

IGMP を使用した動的な登録

ホストはIGMP（Internet Group Management Protocol）を使用して、ホストが特定のマルチキャスト・グループに所属する必要があるかどうかを、最も近いマルチキャスト・ルータに通知します。ホストは、いつでもグループから抜けたりグループに参加したりできます。 IGMP は RFC 1112 で定義されています。

IP マルチキャスト・グループのアドレス指定

IP アドレス空間は、クラス A、クラス B、クラス C、およびクラス D の 4 つのセクションに分かれています。クラス A、B、および C のアドレスはユニキャスト・トラフィック用に使用されます。クラスD のアドレスは、マルチキャスト・トラフィック用に予約され、動的に割り当てられます。マルチキャスト・アドレスの範囲224.0.0.0～239.255.255.255は、IP マルチキャスト・トラフィックのグループ・アドレスまたは送信先アドレス専用です。宛先アドレスが「1110」で始まるすべてのIP データグラムは IP マルチキャスト・データグラムです (図1-4)。図 1-4 マルチキャスト・アドレスの範囲 ラジオを特定の周波数にチューニングして、放送されている番組を受信するのと同じように、ホスト・インタフェースを「調整」して、特定のマルチキャスト・グループに送信されたデータグラムを受信できます。このプロセスはマルチキャスト・グループへの参加と呼ばれます。マルチキャスト・アドレス範囲の残りの28 ビットは、データグラムの送信先のマルチキャスト・グループを識別します。マルチキャスト・グループのメンバシップは動的です（ホストはいつでもグループに参加したり、グループから抜けたりできます）。マルチキャスト・データグラムの発信元アドレスは、常にユニキャスト発信元アドレスです。

予約済みローカル・アドレス

Internet Assigned Numbers Authority（IANA）は、224.0.0.0～224.0.0.255の範囲のマルチキャスト・

グループ・アドレスを、ルータによって転送されずに特定のLAN セグメント内でローカルで使用さ

(39)

これらのアドレスはパーマネント・ホスト・グループと呼ばれます。表 1-2に、予約済みのローカル・ネットワーク・マルチキャスト・グループの例を示します。予約済みのマルチキャスト・アドレスの詳細については、 http://www.iana.org/assignments/multicast-addressesを参照してください。

インタフェースごとのマルチキャストの制限

マルチキャスト対応のルータは、1 つのインタフェースから別のインタフェースにマルチキャスト・データグラムを転送します。SecurePlatform 上で実行されている VPN-1 ゲートウェイでマルチキャストを有効にすると、インタフェースごとにマルチキャスト・アクセスを制限することができます（図1-5を参照）。これらの制限では、許可または遮断するマルチキャスト・グループ（アドレスまたはアドレス範囲）を指定します。制限は発信マルチキャスト・データグラムに対して適用されます。発信IGMP マルチキャスト・パケットのマルチキャスト・グループへのアクセスがインタフェースで拒否される場合、着信パケットも拒否されます。表 1-2 ローカル・ネットワーク・マルチキャスト・グループの例マルチキャスト・アドレス目的 224.0.0.1 すべてのホスト。このグループに送信される ICMP リクエスト（Ping）は、ネットワーク上のすべてのマルチキャスト対応のホストによって応答される必要があります。すべてのマルチキャスト対応ホストは、すべてのマルチキャスト対応インタフェースで起動時にこのグループに参加する必要があります。 224.0.0.2 すべてのルータ。すべてのマルチキャスト・ルータは、すべてのマルチキャスト対応インタフェースでこのグループに参加する必要があります。 224.0.0.4 すべてのDVMRP ルータ。 224.0.0.5 すべてのOSPF ルータ。 224.0.0.13 すべてのPIM ルータ。

(40)

図 1-5 インタフェースごとのマルチキャスト制限を使用したゲートウェイ マルチキャスト・データグラムのアクセス制限が定義されていない場合、1 つのインタフェースからゲートウェイに入った着信マルチキャスト・データグラムは、他のすべてのインタフェースから出ることが許可されます。インタフェースごとのアクセス制限を定義する以外に、マルチキャスト・トラフィックとサービスを許可するルールをルール・ベースで定義し、ルールの宛先には必要なマルチキャスト・グループを指定する必要があります。詳細については、49 ページの「マルチキャスト・アクセス制御の設定」を参照してください。

VPN 接続

マルチキャスト・トラフィックは暗号化して、複数のVPN トンネル・インタフェース（同じ物理インタフェースに関連付けられた仮想インタフェース）を使用して定義されたVPN リンク経由で送信できます。

協調施行

協調施行はチェック・ポイントのIntegrity サーバと連動して動作します。この機能は Integrity サーバのコンプライアンス対応力を活用して、内部ネットワークのホストからの接続を制御します。 Integrity サーバは中央管理型の多層構造エンドポイント・セキュリティ・ソリューションで、ポリシー・ベースのセキュリティを施行して内部およびリモートのPC を保護します。簡単に導入および管理でき、ハッカー、ワーム、スパイウェア、その他のセキュリティの脅威によるリスクを軽減できます。

(41)

管理者は、定義済みのポリシー・テンプレート、使いやすいWeb ベースの管理インタフェース、PC ファイアウォールとアプリケーションの権限コントロールなどの機能を使用して、協調施行の開発、管理、および施行を迅速かつ簡単に実行できます。協調施行を使用することで、ゲートウェイ経由で接続を開始するホストに対しては必ずコンプライアンスのテストが実行されます。これにより、悪質なソフトウェア・コンポーネントを使用するホストによるネットワーク・アクセスを防ぐことができるため、より高いネットワークの完全性を実現します。この機能はIntegrity サーバが管理するホストと Integrity サーバ本体の仲介役の役割を果たします。協調施行は、ホストが安全かどうかを定義し、ソフトウェア・コンポーネントの定義済み必要条件を満たさない接続を遮断できるIntegrity サーバのコンプライアンス機能に依存します。一般的な協調施行のワークフローを以下に示します。 1. ホストがファイアウォール・ゲートウェイを経由して、ネットワークへの接続を開始します。クライアントからサーバへの最初のパケットは許可されます。協調施行機能は、クライアントに対するサーバの最初の応答時にのみ動作を開始します。 2. ファイアウォールはホストのコンプライアンスを確認します。必要に応じてIntegrity サーバにクエリを送ります。 3. 応答を受信すると、コンプライアンスに準拠するホストからの接続は許可され、準拠しないホストからの接続は遮断されます。ゲートウェイで協調施行機能を有効にすると、以下の暗黙ルールが自動的に有効になります。 1. すべてのファイアウォールGUI クライアントは、HTTP または HTTPS（ポート 80 または 443）経由でIntegrity サーバへの接続が許可されます。 2. すべての内部クライアントは、ファイアウォール経由でIntegrity サーバへのハートビート用のアクセスが許可されます。 3. ファイアウォールは、ポート5054 で Integrity サーバとの通信が許可されます。追加のアクセス許可（外部クライアントによるIntegrity サーバへの接続許可や、他のコンピュータによるIntegrity サーバの管理機能へのアクセス許可など）が必要な場合は、明示的なルールを定義する必要があります。

実施モード

実施モードの場合、準拠しないホスト接続はファイアウォール・エンドポイント・セキュリティ機能によって遮断されます。 HTTP 接続の場合、準拠していないことがホストに通知されます。その場合、ユーザは適切な処理を実行して、準拠するように設定を変更します。たとえば、Integrity クライアントのバージョンをアップグレードします。

(42)

NAT 環境

協調施行機能は一部のNAT 設定ではサポートされていません。協調施行がNAT 環境で動作するには、実施モジュールと Integrity サーバの間で特定のクライアントが同一のIP アドレスに紐づいている必要があります。したがって、NAT を使用しているために、ゲートウェイが認識するクライアントIP と Integrity サーバが認識するクライアント IP が異なる場合、協調施行は正常に機能しません。

Monitor Only 導入モード

「Monitor Only」導入モードでは、ファイアウォールは Integrity サーバからの認証ステータスを要求

しますが、受信したステータスに関係なく、接続は破棄されません。さらに、（管理者によって設定

されている場合）協調施行機能は導入モードに関係なくログを生成します。

設定の詳細については、51 ページの「協調施行の設定」を参照してください。

End Point Quarantine（EPQ）- Intel

®

_AMT

End Point Quarantine（IntelAMT を使用）により、管理者は、セキュリティ・ポリシーの設定に

従って、不正な行動が発生した場合に不正なユーザのコンピュータを隔離できます。 EPQ は、不正な行動が発生したコンピュータにセキュリティ・ポリシーをインストールして、不正なコンピュータを隔離します。ポリシーは、そのコンピュータとの着信と送信トラフィックの両方を制限します。その結果、コンピュータは他のネットワーク隔離され、問題の拡大を防ぎます。アンチ・スプーフィングを有効にして最大限のセキュリティ保護を実施することをお勧めします。アンチ・スプーフィングを有効にしていても、以下の保護はEPQ と一緒には正常に機能せず、ホストを隔離する場合があります。 • すべてのDOS Protection（DOS 攻撃からの保護） • Packet Sanity（パケットの正当性）

• Max Ping Size（Ping の最大サイズ）

• IP Fragment（IP フラグメント）

• Network Quota（ネットワーク・クォータ）

• Small PMTU（スモール PMTU 攻撃）

EPQ は SecurePlatform および Linux プラットフォームでサポートされています。

設定の詳細については、51 ページの「End Point Quarantine（EPQ）- Intel® AMT の設定」を参照してください。

(43)

アクセス制御に関する特別な考慮事項

スプーフィング保護

ネットワークがIP アドレス・スプーフィングから保護されていない場合、アクセス制御ルールは無効になり、攻撃者にパケットの発信元アドレスを変更され簡単にアクセスされてしまいます。このため、内部インタフェースを含むVPN-1 ゲートウェイのすべてのインタフェースに、必ずアンチ・スプーフィング保護を設定してください。設定の詳細については、46 ページの「アクセス制御の設定」を参照してください。

簡潔性

効果的なファイアウォール保護を実現するための鍵は簡潔なルール・ベースです。組織のセキュリティにとって最も危険なことの1 つは、設定ミスです。たとえば、誤って無制限のメッセージング・プロトコルを許可していれば、ユーザは偽の断片化されたパケットを使用することなくファイアウォールをすり抜けることができます。ルール・ベースを簡潔にすることにより、ルールの管理と運用を簡単に行うことができます。ルールが増えれば増えるほど間違いを起こす可能性が高まります。スプーフィング保護 43 ページ簡潔性 43 ページ基本ルール 44 ページルールの順序 44 ページトポロジに関する考慮事項： DMZ 44 ページ暗黙ルールの編集 45 ページアクセス制御ルールの定義 46 ページ

(44)

基本ルール

ルールを作成する場合は、必要なトラフィックのみを許可するようにしてください。ファイアウォールで保護されている側と保護されていない側の両方から発信されてファイアウォールを通過するトラフィックを考慮する必要があります。すべてのルール・ベースに次の基本アクセス制御ルールを含めることをお勧めします。 • VPN-1 ゲートウェイへの直接アクセスを防止するステルス・ルール。 • 前のルールで許可されていないトラフィックをすべて破棄するクリーンアップ・ルール。これを行う暗黙ルールがありますが、クリーンアップ・ルールによりそのようなアクセスの試みをログに記録できます。ルール・ベースの基本原則は、「明示的に許可されないすべてのアクションは禁止する」であることをあらためて認識する必要があります。

ルールの順序

ルールの順序は、効果的なルール・ベースの重要な要素です。同じルールでも、順序を変更するとファイアウォールの効果が大幅に変わります。最も具体的なルールを最初に置き、より一般的なルールを最後に置くことが適切です。この順序により、具体的なルールの前に一般的なルールが適用されるのを防ぎ、ファイアウォールを設定ミスから保護できます。

トポロジに関する考慮事項：

DMZ

インターネットを使用して外部からアクセスできるサーバがある場合は、非武装地帯（DMZ）を作成する必要があります。 DMZ は、インターネットなどの信頼されていない発信元からアクセス可能なすべてのサーバを隔離することによって、仮にこれらのサーバに侵入されたとしても、侵入者によるアクセスを外部からアクセス可能なサーバのみに制限します。DMZ 内のサーバは任意のネットワークからアクセスできるため、外部からアクセス可能なサーバはすべてDMZ に設置する必要があります。 DMZ ゾーン内のサーバは、できる限り安全に保護する必要があります。 UserAuthority など特定のアプリケーションを除き、DMZ から内部ネットワークへのアクセスを許可してはなりません。

(45)

X11 サービス

X11（X ウィンドウ・システム・バージョン 11）グラフィックス表示システムは、UNIX 環境におけるグラフィックス・システムの標準です。X11 を有効にするには、X11 サービスを許可するルールを作成する必要があります。 Service として［Any］を選択した場合、X11 サービスは含まれません。 これは、X11 サービスを使用する場合、GUI アプリケーションがクライアントではなくサーバとして機能するからです。

暗黙ルールの編集

暗黙ルールは、［Global Properties］ウィンドウの［Firewall Implied Rules］ページで定義され

ます。一般に定義済みの暗黙ルールは変更する必要がありません。プロパティをルール・ベースから詳細に管理できるよう、一部の暗黙ルールを選択しないことをお勧めします。たとえば、特定のゲートウェイでのみICMP Ping を許可したい場合があります。以下に暗黙ルールの推奨設定を示します。表 1-3 ファイアウォール用暗黙ルールの推奨設定暗黙ルール推奨設定

Accept VPN-1 control connections _First

Accept Remote Access control connections First

Accept SmartUpdate connections _First

Accept outbound packets originating from the gateway オフ

Accept RIP オフ

Accept Domain Name Over UDP (Queries) オフ

Accept Domain Name over TCP (Zone transfer) オフ

Accept ICMP requests オフ

Accept dynamic address modules' DHCP traffic _First Accept VRRP packets originating from cluster members

(VSX Nokia VRRP)

(46)

アクセス制御の設定

アクセス制御ルールの定義

アクセス制御ルールの例については、35 ページの図 1-3を参照してください。アクセス制御ルールを定義するには、SmartDashboard を使用して以下の手順を実行します（詳細については、『SmartCenter』を参照してください）。 1. SmartDashboard を使用して、各ネットワークおよびホストに対してネットワーク・オブジェクトを定義します。 2. ルール・ベースの［Security］タブをクリックします。

3. SmartDashboard メニューから［Rules］>［Add Rule］を選択し、［Bottom］、［Top］、 ［Below］、［Above］のいずれかを選択します。 4. ［Source］および［Destination］カラムで右クリックして［Add...］を選択します。 5. ネットワーク・オブジェクトを選択して［OK］ボタンをクリックします。 6. ［Service］カラムで右クリックして［Add...］を選択します。 7. サービスまたはサービス・グループを選択して［OK］ボタンをクリックします。 8. ［Action］カラムで右クリックして［Accept］、［Drop］、または［Reject］を選択します。 9. ［Track］カラムで右クリックします。 10. いずれかのトラッキング・オプションを選択します。アクセス制御ルールの定義 46 ページ基本的なアクセス制御ポリシーの定義 47 ページアンチ・スプーフィングの設定 48 ページマルチキャスト・アクセス制御の設定 49 ページ協調施行の設定 51 ページ

(47)

基本的なアクセス制御ポリシーの定義

アクセス制御ポリシーは次の目的で必要です。 • 内部ユーザにインターネットへのアクセスを許可する。 • すべてのユーザにDMZ ネットワークのサーバへのアクセスを許可する。 • ネットワークを外部の者から保護する。このポリシーには、2 つの基本ルールであるステルス・ルールとクリーンアップ・ルールも必要です。図 1-6は、アクセス制御ポリシーを必要とするネットワークの例を示しています。図 1-6 アクセス制御ポリシーを必要とするネットワークの例 アクセス制御ポリシーを作成するには、以下の手順に従います。

• ［Rules］>［Add Rules...］メニュー項目を使用して SmartDashboard にルールを追加します。

図 1-7 アクセス制御ルール・ベースの例

ファイアウォールとSmartDefense