1.Firewallのルール(ポリシー)

1.ファイアウォールのルール(ポリシー)について
パケットフィルタリング型ファイアウォール(Firewall)のルール(ポリシー)の例を示す。(※出題はH20SV 午前問題 問45より)

Firewallのルールは、以下にあるようにパケットのヘッダ部分を確認し、アクション(許可か禁止)を決定する。
IPパケットのヘッダを合わせて確認したい。

問題にあるように「ファイアウォールでの処理は、ルール一覧に示す番号の1から順に行い、一つのルールが適用された場合には残りのルールは適用されない。」というのが一般的である。
また、これも製品ごとの仕様であって規格などで決まっているわけではないが、ルールが無ければ基本的に拒否である。(※暗黙のDENY(ANY-ANY-DENY)が設定されているとも考えられる。)
rule

2.戻りパケットのルール
書く必要はない。NetScreen/SSGの場合、動的フィルタリングにより、戻りのパケットは自動で許可される。例えば、内部から外部のレンタルサーバにPOP3にてメールを受信するとする。この場合、内部から外部へのPOP3(110)のみを許可すればよく、外部から内部へのPOP3は不要だ。 Ciscoのルータなどでフィルタリングを書く場合は、動的フィルタではないので、戻りもきちんと書く必要がある。


一般的なルールの考え
この考え方は、理解しておきましょう。

全般
 ・基本的には全てのパケットを停止させ、必要なルールだけを開ける。
 ・pingによる疎通試験用にICMPをすべて許可するという設計をする人もいるが、不要なポリシーは停止するのが本来である。
 ・IPアドレスでのポリシーが多いが、外部のサイトはURLで指定することもある。その方が便利なこともある。
 ・ポリシーは上から順にチェックし、合致するものがあれば、そのルールを適用する。つまり、それ以降は見ない。なので、順番は大事だ。

外部からDMZ
 ・公開Webサーバなどのために必要なポリシーは、必要なだけ許可する。
例えば、Webサーバであれば、HTTP(80)とHTTPS(443)のみを許可する。公開サーバのIPアドレス宛ては全て許可するような設定はよくない。

外部から内部セグメントへのアクセス
 ・外部から内部セグメントへのアクセスはすべて禁止する。
 ・たまに、外部から内部へのポリシーを設定している企業を見るが、これは絶対に推奨できない。すべて禁止にすべきだ。
 ・外部からの通信はすべてDMZのサーバとすべきであり、どうしても許可すべきものがあるなら、DMZに配置すべきである。
なんらかの事情でそれができない場合、送信元IPアドレスを固定するべきである。

内部から外部へのアクセス
 ・内部からインターネットへの接続も、内部からのアクセスだから何でも許可するのはよくない。不正な情報漏えいを防ぐためだ。
 ・WebアクセスはProxy経由という場合は、送信元をProxyのみに限定する。
 ・また、プロトコルもHTTPなどと具体的に指定する。FTPを使わないなど、使わないプロトコルは拒否。

2-1.Firewallのポリシー(1)簡単な例

以下のように、FWを中心に、ネットワークが.ぅ鵐拭璽優奪函↓DMZ、F睇LAN、の3つに分けられています。今回はインターネットとDMZ間のFWのポリシーについて考えます。
・公開サーバは、Web、メール、DNSの3つ
・DNSはプライマリDNSサーバで、セカンダリDNSサーバは、クラウド上のサービスを利用している。
この条件で、インターネットとDMZ間のFWのポリシーを答えよ。
dmz
正解例は以下です。
あくまでも部分的に限定しているので、それ以外の通信も発生する可能性があります。一つの注意点は、セカンダリDNSサーバからのゾーン転送がTCPを使うことです。また、ゾーン転送は、セカンダリDNSサーバからプライマリDNSサーバです。また、外部DNSサーバはキャッシュ機能を持たせていないことがセキュリティ的に望まれるので、外部DNSサーバからインターネット上のDNSサーバへのDNS通信は許可していません。

項番

アクセス経路

送信元

宛先

プロトコル/ポート番号

1

インターネット→DMZ

any

公開Webサーバ

TCP/80

TCP443

2

any

外部メールサーバ

TCP/25

3

any

外部DNSサーバ

UDP/53

4

セカンダリDNSサーバ

外部DNSサーバ

TCP/53

6

DMZ→インターネット

外部メールサーバ

any

TCP/25

2-2.Firewallのポリシー(2)過去問1

ネットワークスペシャリスト試験では、ファイアウォールのポリシーに関する出題がよくあります。中途半端な理解だと、また間違えます。
ネスペの本試験で、どんな問題が出ても対応できるように、きっちりと理解してしまいましょう。

では、以下の図だけを見て、Firewallのポリシーを作成してください。
とても勉強になるので、答えを見ずに自分で考えましょう。
(出題はH19NW午後1 問3より)
FW
以下にポリシーを当てはめてください。
書き方は1行目(ポート0)を参考にしてください。
1行目がなぜこうなるかをまずは考えましょう。
・まず、ポート0はインターネットがつながっています。
・次にポート1は公開サーバがあるので、DMZです。
・ポート2は内部セグメントです。
・ポート3は監視用サーバのセグメントになります。
mondai
正解は以下です。自分で納得するようにしてください。
書き方は1行目(ポート0)を参考にしてください。
まず,1行目がなぜこうなるかを考えましょう。1行目はインターネットからのアクセスですので,許可するのはDMZの公開サーバのみです。

2行目はDMZからの通信です。
インターネットからDMZへの通信が「DOMAIN,SMTP,HTTP」なので,DMZからインターネットへの通信も同じという単純な内容ではありません。
このFWがダイナミックパケットフィルタリング機能を持たないのであれば,行き帰りのルールは基本的に同じになりますが,今回はダイナミックパケットフィルタの機能を持つので,行きと帰りは別々に考える必要があります。DMZからインターネットへの通信は,以下の3つです。
DOMAIN:DNSのゾーン転送やDNSの問い合わせなど
SMTP:内部から外部へのメール転送
HTTP:プロキシサーバ(元は内部セグメントのPC)からのインターネットアクセス

3行目は,内部セグメントからの通信です。
インターネットから直接アクセスさせることをしないルールになっています(考え方次第なので,企業によって異なります)。内部セグメントからDMZへの通信は,以下の3つです。
DOMAIN:PCからDNSの問い合わせ
SMTP:内部メールサーバからメールの送信
HTTP:インターネットアクセス

内部セグメントから監視セグメントへの通信は,以下の2つです。
‘睇凜札哀瓮鵐箸竜ヾ錣ら監視サーバへのTrap
監視用PCから監視サーバへ管理画面(WEB)へのアクセス

4行目は,監視セグメントからの通信で,DMZや内部セグメントへのSNMPによるポーリングなどの通信があります。
seikai

2-2.Firewallのポリシー(2)過去問2

R1NW午後2問2の問題です。本文に構成に関する詳細な記載がありますが、今回は構成図だけで考えましょう。
fw構成

では、この構成図におけるFWのルールですが、以下の空欄を答えましょう。

fw_mondai








正解は以下です。
また、空欄アには x.y.x.1(R社DNSサーバ、セカンダリDNS)が入ります。
policy_q

スポンサードリンク