Firewallのルール（ポリシー） : ネットワークスペシャリスト

目次
1.Firewallのルール（ポリシー）
2-1.Firewallのポリシー(1)簡単な例
2-2.Firewallのポリシー(2)過去問1
2-3.Firewallのポリシー(3)過去問2

1.Firewallのルール（ポリシー）

１．ファイアウォールのルール（ポリシー）について
パケットフィルタリング型ファイアウォール（Firewall）のルール（ポリシー）の例を示す。（※出題はH20SV　午前問題　問45より）

Firewallのルールは、以下にあるようにパケットのヘッダ部分を確認し、アクション（許可か禁止）を決定する。
IPパケットのヘッダを合わせて確認したい。

問題にあるように「ファイアウォールでの処理は、ルール一覧に示す番号の1から順に行い、一つのルールが適用された場合には残りのルールは適用されない。」というのが一般的である。
また、これも製品ごとの仕様であって規格などで決まっているわけではないが、ルールが無ければ基本的に拒否である。（※暗黙のDENY（ANY-ANY-DENY）が設定されているとも考えられる。）
rule

２．戻りパケットのルール
書く必要はない。NetScreen/SSGの場合、動的フィルタリングにより、戻りのパケットは自動で許可される。例えば、内部から外部のレンタルサーバにPOP3にてメールを受信するとする。この場合、内部から外部へのPOP3（110）のみを許可すればよく、外部から内部へのPOP3は不要だ。 Ciscoのルータなどでフィルタリングを書く場合は、動的フィルタではないので、戻りもきちんと書く必要がある。

３．一般的なルールの考え
この考え方は、理解しておきましょう。

全般
　・基本的には全てのパケットを停止させ、必要なルールだけを開ける。
　・pingによる疎通試験用にICMPをすべて許可するという設計をする人もいるが、不要なポリシーは停止するのが本来である。
　・IPアドレスでのポリシーが多いが、外部のサイトはURLで指定することもある。その方が便利なこともある。
　・ポリシーは上から順にチェックし、合致するものがあれば、そのルールを適用する。つまり、それ以降は見ない。なので、順番は大事だ。

外部からDMZ
　・公開Webサーバなどのために必要なポリシーは、必要なだけ許可する。
例えば、Webサーバであれば、HTTP（80）とHTTPS（443）のみを許可する。公開サーバのIPアドレス宛ては全て許可するような設定はよくない。

外部から内部セグメントへのアクセス
　・外部から内部セグメントへのアクセスはすべて禁止する。
　・たまに、外部から内部へのポリシーを設定している企業を見るが、これは絶対に推奨できない。すべて禁止にすべきだ。
　・外部からの通信はすべてDMZのサーバとすべきであり、どうしても許可すべきものがあるなら、DMZに配置すべきである。
なんらかの事情でそれができない場合、送信元IPアドレスを固定するべきである。

内部から外部へのアクセス
　・内部からインターネットへの接続も、内部からのアクセスだから何でも許可するのはよくない。不正な情報漏えいを防ぐためだ。
　・WebアクセスはProxy経由という場合は、送信元をProxyのみに限定する。
　・また、プロトコルもHTTPなどと具体的に指定する。FTPを使わないなど、使わないプロトコルは拒否。

2-1.Firewallのポリシー(1)簡単な例

以下のように、FWを中心に、ネットワークが①インターネット、②DMZ、③内部LAN、の３つに分けられています。今回はインターネットとDMZ間のFWのポリシーについて考えます。
・公開サーバは、Web、メール、DNSの３つ
・DNSはプライマリDNSサーバで、セカンダリDNSサーバは、クラウド上のサービスを利用している。
この条件で、インターネットとDMZ間のFWのポリシーを答えよ。
dmz

正解例は以下です。
あくまでも部分的に限定しているので、それ以外の通信も発生する可能性があります。一つの注意点は、セカンダリDNSサーバからのゾーン転送がTCPを使うことです。また、ゾーン転送は、セカンダリDNSサーバからプライマリDNSサーバです。また、外部DNSサーバはキャッシュ機能を持たせていないことがセキュリティ的に望まれるので、外部DNSサーバからインターネット上のDNSサーバへのDNS通信は許可していません。

項番	アクセス経路	送信元	宛先	プロトコル/ポート番号
1	インターネット→DMZ	any	公開Webサーバ	TCP/80 TCP443
2		any	外部メールサーバ	TCP/25
3		any	外部DNSサーバ	UDP/53
4		セカンダリDNSサーバ	外部DNSサーバ	TCP/53
6	DMZ→インターネット	外部メールサーバ	any	TCP/25

2-2.Firewallのポリシー(2)過去問1

ネットワークスペシャリスト試験では、ファイアウォールのポリシーに関する出題がよくあります。中途半端な理解だと、また間違えます。
ネスペの本試験で、どんな問題が出ても対応できるように、きっちりと理解してしまいましょう。

では、以下の図だけを見て、Firewallのポリシーを作成してください。
とても勉強になるので、答えを見ずに自分で考えましょう。
（出題はH19NW午後1　問3より)

以下にポリシーを当てはめてください。
書き方は1行目（ポート0）を参考にしてください。
1行目がなぜこうなるかをまずは考えましょう。
・まず、ポート0はインターネットがつながっています。
・次にポート1は公開サーバがあるので、DMZです。
・ポート2は内部セグメントです。
・ポート3は監視用サーバのセグメントになります。

正解は以下です。自分で納得するようにしてください。
書き方は1行目（ポート0）を参考にしてください。
まず，1行目がなぜこうなるかを考えましょう。1行目はインターネットからのアクセスですので，許可するのはDMZの公開サーバのみです。

2行目はDMZからの通信です。
インターネットからDMZへの通信が「DOMAIN，SMTP，HTTP」なので，DMZからインターネットへの通信も同じという単純な内容ではありません。
このFWがダイナミックパケットフィルタリング機能を持たないのであれば，行き帰りのルールは基本的に同じになりますが，今回はダイナミックパケットフィルタの機能を持つので，行きと帰りは別々に考える必要があります。DMZからインターネットへの通信は，以下の3つです。
①DOMAIN：DNSのゾーン転送やDNSの問い合わせなど
②SMTP：内部から外部へのメール転送
③HTTP：プロキシサーバ（元は内部セグメントのPC）からのインターネットアクセス

3行目は，内部セグメントからの通信です。
インターネットから直接アクセスさせることをしないルールになっています（考え方次第なので，企業によって異なります）。内部セグメントからDMZへの通信は，以下の3つです。
①DOMAIN：PCからDNSの問い合わせ
②SMTP:内部メールサーバからメールの送信
③HTTP：インターネットアクセス

内部セグメントから監視セグメントへの通信は，以下の2つです。
①内部セグメントの機器から監視サーバへのTrap
②監視用PCから監視サーバへ管理画面（WEB）へのアクセス

4行目は，監視セグメントからの通信で，DMZや内部セグメントへのSNMPによるポーリングなどの通信があります。