前回は、ヤマハ「FWX120」の概要と導入作業について取り上げた。今回はその続きとして、主要な機能である「ポリシーベースのファイアウォール機能」についてみていくことにしよう。

入力遮断フィルターは馴染みやすい機能

ヤマハ製に限らず、一般的なルータのファイアウォール機能は、「パケットフィルタ」「不正アクセス検知」といった個別の機能ごとに設定を行うようになっている。では、FWX120ではどういう内容になっているだろうか。

まず「入力遮断フィルター」だが、これは一般的なパケットフィルタと同じようなものと考えればよさそうだ。送信元と宛先のIPアドレス、それとポート番号を条件に使って、通過の可否を指定する。LAN1ポートとLAN2ポートのそれぞれで個別に設定できるほか、IPv4とIPv6の両方に対応しているのはさすがである。

入力遮断フィルター(IPv4)の設定例。IPアドレスやポート番号を使って通過の可否を指定する、ファイアウォールとしては馴染み深い機能だ

入力遮断フィルター(IPv4)を追加する際の画面例。一般的なパケットフィルタと同じ要領でできる

ポリシーベースのファイアウォール機能とは?

ところが、FWX120の特徴が出てくるのはこの先である。それがポリシーベースのファイアウォール機能だ。これはいわゆるステートフルパケットインスペクション(SPI)の機能だが、設定のやり方に特徴がある。

この機能は、対象となるインタフェース、IPアドレス範囲、サービス(TCP/IP通信アプリケーションのこと)といった分野について、事前にグループの設定を行えるのだ。もちろん、入力遮断フィルターと同様、IPv4とIPv6の両方に対応している。

「インターフェースグループ」は、対象となるインタフェースを指定するものだ。LAN1とLAN2については「範囲指定しない」と「LAN1-LAN2」「LAN2-LAN1」の指定が可能で、その他は個別のインタフェースを単体で登録する形になる。

「アドレスグループ」は、IPアドレス範囲をネットワークアドレス単位で登録するものだ。社内に複数のネットワークがある場合、所在地や部署の名前を使ってグループを登録しておくと、ネットワークアドレスをそのまま使うよりも分かりやすいのではないだろうか。

「サービスグループ」は、TCP/IP通信アプリケーションの種類を指定して、用途ごとにグループ化して登録する。また、TCP/UDPの別とポート番号の組み合わせにより、任意の内容を登録することもできる。

たとえば、電子メールのやりとりであれば、受信にはPOP3(Post Office Protocol Version 3)かIMAP4(Internet Message Access Protocol Version 4)、送信にはSMTP(Simple Mail Transfer Protocol)を使うが、これらを対象として通過の可否を個別に設定するのは煩雑である。しかし、FWX120では「Email」というサービスグループを定義して、そこで「POP3とIMAP4とSMTP」をまとめて登録しておくと、グループ単位で一括して、通信の可否を指定できる。これなら設定ミスや設定漏れを回避しやすいだろう。

インターフェースグループの設定画面例。ここでは「LAN1」と「LAN2」を行き来する通信をグループ化するという想定。このほか、ネットワークアドレスを単位にしたアドレスのグループ化や、プロトコルを単位にしたネットワークサービスのグループ化も可能

ただし、グループを規定しないとポリシーフィルターを設定できないわけではなくて、送受信のインタフェースや始点/終点アドレス、サービスを指定する際に、個別に指定することも、グループ指定によって楽をすることもできるという話である。

だから、頻繁に使用するもの、あるいはもともとワンセットで動作することが分かっているものを事前にグループ化しておくと、後でポリシーフィルターを設定する際に楽ができるし、設定漏れも少なくなるというわけだ。

グループ化しなくてもポリシーフィルターの登録は可能だが、ワンセットで機能するインタフェースやネットワーク、あるいはネットワークサービス(上画面)であれば、グループ化しておく方が扱いが楽になる

うまく使うと役立ちそうな、ポリシーセットの切り替え機能

FWX120でISPに接続するための設定を行うと、「Internet Access」という名前のポリシーセットを自動的に登録する。

ポリシーセットとは、複数のポリシーフィルターをまとめて登録する単位である。ポリシーセットごとに、受信/送信のインタフェース、始点/終点アドレス、サービス、動作、ログについての設定を行う。

ポリシーセットを追加するには、まず「ポリシーセットの一覧」で名前を指定して、空白のポリシーセットを登録する。続いて、その下の「ポリシーセットの詳細」左上にあるリストボックスで、設定対象になるポリシーセットを選択する。そのポリシーセットに対して、「追加」をクリックすると表示する画面でポリシーフィルターを登録していく。

面白いのは、複数のポリシーセットを登録しておけるだけでなく、それを手動でも、あるいは特定の条件に基づいて自動でも切り替えられる点だ。たとえば、次回に取り上げる不正アクセス検知機能でWinnyやShareのトラフィックを検知したら、通常より厳しい規制内容に設定したポリシーセットに自動的に切り替える、なんていう使い方が可能である。

ポリシーセットの自動切り替え機能は、ツボにはまると便利そうである

この機能、ツボにはまると便利そうだが、実際に利用する際には、事前に入念な試験運用を行う方が良いのではないかと思う。条件判断の部分で何かミスが入り込むと、ポリシーセットの設定内容次第では、通信できるはずのものができなくなる、なんていうトラブルが発生するかもしれないからだ。