FW(ファイアウォール)の役割と基本設定:現場で最低限知っておくべきこと
1.FW(ファイアウォール)の役割 ◆FW(ファイアウォール)には役割として大きく3つ挙げられる。
・通信のフィルタリング機能
最も重要な機能は「通信のフィルタリング」である。予め送信元/送信先(IPアドレス・ポート)をルールを設定しておき、許可した通信のみを通し、許可されていない通信を遮断することで、セキュリティを確保する役割を持つ。
・IPアドレス変換機能 インターネットで使用する「グローバルIPアドレス」と、社内ネットワークで使用する「プライベートIPアドレス」間で相互にIPアドレスを変換(NAT)する機能がある。これにより、社内のPCを秘匿し、セキュリティを確保することが可能。
・遠隔管理、ログ監視機能 FW(ファイアウォール)にはリモート管理機能があり、管理者は遠隔地からブラウザ上で管理運用する ことができる。また、ログ監視の機能を活用し、不正なアクセスを検知した場合は管理者への通知を行ったり、ログを監視・調査することでリアルタイムに対応することができる。
2.現場で扱っている主なメーカー3選 ◆ここでは私が今まで経験した現場で扱われていたメーカーを紹介していく。
・Cisco Systems(シスコシステムズ) Cisco Systems(シスコシステムズ)は通称Cisco(シスコ)と呼ばれており、IT業界では知らない人間はいないというくらい有名な企業である。FW(ファイアウォール)に関わらずL3SW(レイヤ3スイッチ)、L2SW(レイヤ2スイッチ)、RT(ルーター)等のネットワーク機器でも様々な現場で扱われているメーカーの一つである。私の体験談になってしまうが、Cisco(シスコ)製のネットワーク機器が現場で触れることが多かった。
・Fortinet(フォーティネット) FW(ファイアウォール)のシェア率は34.7%と市場としては1位となる。その他では、無線AP(アクセスポイント)、SW(スイッチ)等のネットワーク機器を取り扱っている。現場では無線AP(アクセスポイント)、FW(ファイアウォール)を採用している企業が多い。
・Palo Alto Networks(パロアルトネットワークス) 高性能な次世代型FW(ファイアウォール)とうたわれるほど、FW(ファイアウォール)を売りとしている会社のようだ。現場ではチラホラ見かける機会が増えてきた。まだ実機を見たことも触れたことはないので扱っている現場があれば、是非触ってみたいものだ。
3.FW(ファイアウォール)の基本設定と現場で最低限知っておくべきこと(Cisco編) ◆FW(ファイアウォール)の基本設定と現場で最低限知っておくべきことをCisco(シスコ)に絞って、紹介していく。
・標準ACL(アクセスリスト)の設定
ACL(アクセスリスト)とは、アクセスコントロールリストの略で、通信アクセスを制御するためのリストのことを指す。下記の設定はIPアドレス172.16.1.2〜172.16.1.3、172.16.2.2〜172.16.2.3の通信を許可する設定となる。また、アクセスリストは同じ番号のものを複数設定が出来る。その場合、先に記述したもの程優先度が高くなる。削除する場合はコマンドの先頭にnoを付けるのみではある。例えばアクセスリスト番号2に複数行の定義をしていた場合でも全て削除されてしまう。もし、1行だけ削除しようとしてno access-list 2 deny 172.16.1.2等と指定しても全て削除されるため、留意が必要である。場合によってはアクセスリスト番号を分けるのが望ましい。
例1)ACL追加
Cisco(config)# access-list 1 permit 172.16.1.2 Cisco(config)# access-list 1 permit 172.16.1.3 Cisco(config)# access-list 2 permit 172.16.2.2 Cisco(config)# access-list 2 permit 172.16.2.3
※図
例2)ACL削除
Cisco(config)# no access-list 2 permit 172.16.2.2 ← access-list 1 permit 172.16.2.3も削除される Cisco(config)# access-list 2 permit 172.16.2.3
・冗長化設定 冗長構成では、各筐体がお互いの監視を行っており、問題を検知時にActive/Standbyの切り替わり(Failover)などが発生する。下記の図を参照。そうすることによって、障害時に全てのFW(ファイアウォール)が機能しなくなるケースを防止できる。
フェールオーバ有効化
(config)#failover
明示的に機器のフェールオーバ役割を指定
(config)#failover lan unit (primary | secondary)
ステートフル情報(コネクション情報、NATセッション、VPNセッションなど)の同期設定 (config)#failover link (logical_name) (物理IF)
フェールオーバ機器間のステータス監視(Heartbeat・設定同期など)と設定
(config)#failover lan interface (logical_name) (物理IF)
論理インターフェースのプライマリIPとスタンバイIPを設定 ※フェールオーバでの同期用にしか使用しないアドレスなので大体 /30で使用します
(config)#failover interface ip (logical_name) (アクティブIP サブネットマスク) standby (スタンバイIP) (config)#failover interface ip (logical_name) (アクティブIP サブネットマスクk) standby (スタンバイIP)
物理IFのプライマリIPとスタンバイIPを設定
(config)#failover ip address (アクティブIP サブネットマスク) standby (スタンバイIP)
・現場で最低限知っておくべきこと 暗黙のdeny ACLの最終行には自動的に「暗黙のdeny」と呼ばれる全てのパケットを拒否する条件文が追加される。※図参照 「暗黙のdeny」は自動的に追加されて設定上では見えない仕様となっている。
障害発生後の復旧について 冗長構成を行うことで、障害発生時(Active機に障害発生)にStanby機がActive機に切り替わる。しかし、元々Active機が復旧してもStanby機と入れ替わることがない。なので、Stanby機がActive機に切り替わった場合は手動で元に戻すケースがある。(現場によっては戻さない)
設定コマンドは下記の通りとなる。
※Active機に投入(元々Stanby機)
no failover active
参考文献
https://cybersecurity-jp.com/column/81
https://2ndlabo.com/article/604
https://beginners-network.com/cisco-catalyst-command/access-list.html
