7.7.1 ファイアウォールの機能一覧

ファイアウォールの機能一覧を示します。

補 足

ファイアウォールの仕様は、「7.1 ファイアウォールの仕様」をご覧ください。

ファイアウォールの性能については、「7.3 ファイアウォールの性能」をご覧ください。

アドレスオブジェクト

1 つ以上のIPアドレス、もしくはネットワークアドレスをグループ化します。

送信元アドレスオブジェクト、もしくは送信先アドレスオブジェクトとして、ポリシーの設定で利用します。

1 つのアドレスオブジェクトには IPv4 / IPv6 を混在して設定することが可能です。


アドレスオブジェクトには以下の設定項目があります。

項目 仕様
アドレス

アドレスオブジェクトに設定するアドレスです。

  • 設定可能なアドレス情報
    • IPv4 アドレス
    • IPv4 ネットワーク
    • IPv6 アドレス
    • IPv6 ネットワーク
名前

アドレスオブジェクトの名前です。

お客様が識別しやすい名前を自由につけることができます。

  • 利用可能な文字
    • a-z A-Z 0-9 _
  • 文字数制限
    • 50 文字
注 意
  • 設定には以下の制限があります。
    • 1 つのアドレスオブジェクトに設定できるIPアドレス、および、ネットワークアドレスの上限は 10個 です。
    • 作成することのできるアドレスオブジェクトの上限は 100個 です。
    • 同じアドレスオブジェクト内で重複した内容を設定することはできません。
    • ドメイン名を指定することはできません。
    • アドレス情報を空欄で設定することはできません。

サービスオブジェクト

ファイアウォールの通信の内容を定義・管理します。


サービスオブジェクトには以下の設定項目があります。

項目 仕様
名前

サービスオブジェクトの名前です。

お客様が識別しやすい名前を自由につけることができます。

  • 利用可能な文字
    • a-z A-Z 0-9 _
  • 文字数制限
    • 50 文字
プロトコル

通信のプロトコルを以下から 1 つ選択します。

  • ICMP
  • TCP
  • UDP
  • FTP
    • Passive FTP / Active FTP 対応
宛先ポート番号

通信の宛先のポート番号です。

1 つ以上のポート、もしくはポート範囲を指定します。

  • 例1: 80, 443
  • 例2: 1025-65535

1 - 65535 の範囲の数値が設定できます。

設定できる項目は 5 項目までです。

  • OK: 80, 443, 8080-8089
  • NG: 80, 443, 8080, 8081, 8082, 8083, 8084, 8085, 8086, 8087, 8088, 8089

※プロトコルが ICMP の場合は指定できません。

注 意
  • 設定には以下の制限があります。
    • 1 つのサービスオブジェクトに設定できるプロトコルは 1 つだけです。
    • 1 つのサービスオブジェクトに設定できる宛先ポート番号の項目数の上限は 5項目です。
      • ポート数の上限ではありません(例: 1-1024 は 1 項目扱いです)
    • FTP のタイムアウトは指定できません。
    • 作成することのできるサービスオブジェクトの上限は 30です。
    • NAPTを利用時、Active FTP は利用できません。

ポリシー

アドレスオブジェクトおよびサービスオブジェクトなどの情報を組み合わせて、ファイアウォールを通過する通信のポリシーを設定します。

ファイアウォールはポリシー内容に則って、通信を評価し、フィルタを実行します。

ポリシーには以下の設定項目があります。


項目 仕様
名前

ポリシーの名前です。

お客様が識別しやすい名前を自由につけることができます。

  • 利用可能な文字
    • a-z A-Z 0-9 _
  • 文字数制限
    • 50 文字
有効・無効

ポリシーを有効にするか無効にするかを選択します。

有効にしたポリシーのみが実際の設定としてファイアウォールに反映されます。

アクション

条件(送信元、送信先、サービス)に合致した場合のファイアウォールの動作です。

以下から 1 つ選択します。

  • ACCEPT(許可)
  • DROP(破棄)
注 意
  • サービスオブジェクトのプロトコルを FTPで、DROP を設定した場合、パケットは DROP されず FTP 的に拒否されます。
  • パケットを DROP させたい場合は、プロトコル TCP に設定してください。
送信元

通信の送信元アドレス情報です。

作成したアドレスオブジェクトから 1 つ選択します。

送信先

通信の送信先アドレス情報です。

作成したアドレスオブジェクトから 1 つ選択します。

サービス

通信内容です。

作成したサービスオブジェクトから 1 つ選択します。

注 意
  • ポリシーは上から順に評価され、最初に一致したポリシーが適用されます。
  • ポリシーは End-to-End (送信元IPアドレス-送信先IPアドレス)で適用されます。そのため、NAT 設定時のポリシーは、ファイアウォールの実アドレスではなく変換後の宛先IPアドレスが送信先として評価されます。
  • 設定したポリシーに適合しない通信は宛先によって挙動が変わります。
    • 宛先がファイアウォールに設定されているアドレスの場合: TCP では RST を返し、それ以外では ICMP Unreachable を応答します。
    • 宛先がファイアウォールに設定されていないアドレスの場合: DROP(破棄)されます
  • 設定できるポリシーの上限は 100 です。
  • IPv4 と IPv6 の NAT 設定時の挙動に以下の違いがあります。
    • IPv4 ⇒ IPv4 NAT
      • 送信元アドレスがそのまま評価され、変換後の宛先IPアドレスが送信先として評価されます。以下に説明図を記載します。
        ポリシーの説明図(IPv4)
      補 足
    • IPv6 ⇒ IPv4 NAT
      • ポリシーを評価する際は送信元アドレスがそのまま評価され、変換後の宛先IPアドレスが送信先として評価されます。
      • 実際の通信では送信元IPアドレスはファイアウォールの internalネットワーク ゲートウェイアドレスへ変換されます。以下に説明図を記載します。
      • ポリシーの説明図(IPv6)
      補 足
      • サービスオブジェクトをFTP、かつポリシーのアクションをACCEPTにした場合、サーバで確認できるクライアントのアドレスは、ファイアウォールのInternalゲートウェイアドレス(VIP)ではなく、ファイアウォールのホストの実アドレスとなります。
      • NAT機能の詳細については、「7.3 ファイアウォールの性能」をご覧ください。
補 足
    ステートフルインスペクションに対応しています。ポリシーで許可している通信に関して、戻りの通信を許可するために別のポリシーを明示的に設定する必要はありません。

スタティックルート

ファイアウォールにスタティックルートを設定します。

スタティックルートには以下の設定項目があります。


項目 仕様
宛先ネットワーク

スタティックルートの宛先となるネットワークを指定します。

送信元

スタティックルートのゲートウェイアドレスを指定します。

  • ゲートウェイアドレスは、ファイアウォールに connected なセグメントの範囲内である必要があります。
  • ゲートウェイアドレスに、ファイアウォール自身のアドレスは設定できません。
  • ゲートウェイアドレスに、ネットワークアドレスは指定できません。
  • ゲートウェイアドレスに、ブロードキャストアドレスは指定できません。
注 意
  • 設定には以下の制限があります。
    • Externalネットワークがグローバルネットワークの場合、宛先「0.0.0.0/0」は設定できません。
    • 設定できるスタティックルートの上限は 30 です。
    • IPv6 のスタティックルートは設定できません。

ログ提供

Syslog のリモート転送でログ提供します。

Syslog のリモート転送には以下の設定項目があります。


項目 仕様
プロトコル

転送に利用するプロトコルを以下から選択します。

  • TCP
  • UDP
アドレス

転送先の Syslog サーバのアドレスを 1つ指定します。

複数指定することはできません。

ポート番号

転送先の Syslog サーバのポート番号を指定します。

1 - 65535 の範囲の数値が設定できます。

注 意
  • 設定には以下の制限があります。
    • ダウンロード提供や問い合わせによる提供は行いません。
    • ログ転送に伴う負荷や帯域の圧迫によりファイアウォールの性能が低下する恐れがあります。
    • Facility 値 local0 で固定となり、変更はできません。
    • サービスオブジェクトのプロトコルに FTP を指定した場合、ファイアウォール 自身が FTP プロトコルを解釈して中継を行うため、ログの形式が他のプロトコルと異なるものになります。(詳細は以下ログサンプルを参照ください。)
ログサンプル

以下のサンプルはログ転送後の syslogサーバ上のログのイメージです。先頭のタイムスタンプやホスト名 (ifwXXXXXXXX-master)、タグ (irelayd) は転送先のログサーバが付加しています。

TCP, UDP, ICMP の場合

ログは TCP, UDP, ICMP のセッションごとに出力されます。(id が個々のセッションを識別する ID です)

補 足
  • サンプル (TCP、NAT あり)

      Oct 26 22:00:01 ifwXXXXXXXX-master irelayd Oct 26 22:00:00 2020 INFO l3logd[71031]: id=0 action=start proto=tcp 192.0.2.100:48940->198.51.100.200:80 time=1603717200

      Oct 26 22:00:01 ifwXXXXXXXX-master irelayd Oct 26 22:00:00 2020 INFO l3logd[71031]: id=0 action=rulematch auth="1_HTTP_In_Office" host="Web" service="HTTP" user="Office"

      Oct 26 22:00:01 ifwXXXXXXXX-master irelayd Oct 26 22:00:00 2020 INFO l3logd[71031]: id=0 action=dstnat proto=tcp 192.0.2.100:48940->198.51.100.200:80 to 192.0.2.100:48940->10.203.0.1:80

      Oct 26 22:02:04 ifwXXXXXXXX-master irelayd Oct 26 22:02:04 2020 INFO l3logd[71031]: id=0 action=close proto=tcp 192.0.2.100:48940->198.51.100.200:80 ipacket=6 ibytes=430 opacket=4 obytes=526 duration=4 start=1603717200 finish=1603717204

  • サンプル (UDP、NAPT あり)

      Nov 2 20:50:51 ifwXXXXXXXX-master irelayd Nov 2 20:50:50 2020 INFO l3logd[66144]: id=1 action=start proto=udp 10.203.0.2:37532->192.0.2.153:53 time=1604317850

      Nov 2 20:50:51 ifwXXXXXXXX-master irelayd Nov 2 20:50:50 2020 INFO l3logd[66144]: id=1 action=rulematch auth="2_DNS_UDP_Out" host="Any" service="DNS_UDP" user="Lan"

      Nov 2 20:50:51 ifwXXXXXXXX-master irelayd Nov 2 20:50:50 2020 INFO l3logd[66144]: id=1 action=srcnat proto=udp 10.203.0.2:37532->192.0.2.153:53 to 198.51.100.200:52409->192.0.2.153:53

      Nov 2 20:51:52 ifwXXXXXXXX-master irelayd Nov 2 20:51:52 2020 INFO l3logd[66144]: id=1 action=close proto=udp 10.203.0.2:37532->192.0.2.153:53 ipacket=1 ibytes=59 opacket=1 obytes=146 duration=0 start=1604317850 finish=1604317850

  • サンプル (ICMP、NAT/NAPT なし)

      Nov 2 21:17:27 ifwXXXXXXXX-master irelayd Nov 2 21:17:27 2020 INFO l3logd[66144]: id=2 action=start proto=icmp 10.203.0.3:29253->192.168.0.10:8 type=8 code=0 time=1604319447

      Nov 2 21:17:27 ifwXXXXXXXX-master irelayd Nov 2 21:17:27 2020 INFO l3logd[66144]: id=2 action=rulematch auth="3_ICMP_Lan" host="Lan" service="ICMP" user="Lan

      Nov 2 21:18:15 ifwXXXXXXXX-master irelayd Nov 2 21:18:15 2020 INFO l3logd[66144]: id=2 action=close proto=icmp 10.203.0.3:29253->192.168.0.10:8 ipacket=5 ibytes=420 opacket=0 obytes=0 duration=4 start=1604319447 finish=1604319451

  • "action" の意味については以下で解説します。

    action 意味 補足
    start セッションの開始
    • proto: tcp, udp, icmp のいずれか
    • time: セッションを開始した時刻 (UNIX time)
      • ログの出力時刻とずれる可能性がある
    • 以下は ICMP のみで出力
      • type: ICMP の type
      • code: ICMP の code
    rulematch FW ルールへのマッチ
    • auth: マッチしたポリシー名 (先頭にポリシーの順番を表す番号が付加される)
    • host: 送信先アドレスオブジェクト名
    • service: サービスオブジェクト名
    • user: 送信元アドレスオブジェクト名
    dstnat NAT
    • NAT 設定を行っているアドレス宛の通信の場合に出力される
    • to の前後が書き換え前後の送信元・宛先アドレスを表す
    srcnat NAPT
    • NAPT 設定を行っているアドレスからの通信の場合に出力される
    • to の前後が書き換え前後の送信元・宛先アドレスを表す

    close

     

    セッションの終了

    • finish の時刻から一定時間 (数十秒から2分程度) 経過後に出力される
    • ipacket: 受信パケット数
    • ibytes: 受信バイト数
    • opacket: 送信パケット数
    • obytes: 送信バイト数
    • duration: 経過秒数 (finish - start)
    • start: 通信を開始した時刻 (UNIX time)
      • 最初にそのセッションのパケットが通過した時刻
    • finish: 通信が終了した時刻 (UNIX time)
      • 最後にそのセッションのパケットが通過した時刻
    注 意

      IPv6 から IPv4 に NAT した場合 action=close の統計情報で opacket, obytes が 0 になります。

    FTP の場合

    ログは FTP の中継ごとに出力されます。(relayid が個々の中継を識別する ID です)

    補 足
  • サンプル (FTP)

      Oct 26 22:04:25 ifwXXXXXXXX-master irelayd Oct 26 22:04:24 2020 NOTICE listen[572571]: relayid=1 action=accept family=inet4 proto=tcp type=stream src=192.0.2.100:60238 dst=198.51.100.200:21

      Oct 26 22:04:25 ifwXXXXXXXX-master irelayd Oct 26 22:04:24 2020 NOTICE relay0[431963]: relayid=1 action=start

      Oct 26 22:04:25 ifwXXXXXXXX-master irelayd Oct 26 22:04:24 2020 NOTICE relay0[431963]: relayid=1 action=rulematch auth="1_FTP_From_Office" host="Web" service="FTP" user="Office"

      Oct 26 22:04:25 ifwXXXXXXXX-master irelayd Oct 26 22:04:24 2020 INFO relay0[431963]: relayid=1 action=ruleresolve service="FTP" allow=true need_cauth=false

      Oct 26 22:04:25 ifwXXXXXXXX-master irelayd Oct 26 22:04:24 2020 NOTICE relay0[431963]: relayid=1 action=authok mode=ftp family=inet4 src=192.0.2.100:60238 dst=10.203.0.2:21

      Oct 26 22:04:25 ifwXXXXXXXX-master irelayd Oct 26 22:04:24 2020 INFO relay0[431963]: relayid=1 action=connect src=192.0.2.100:60238 dst=10.203.0.2:21

      Oct 26 22:05:15 ifwXXXXXXXX-master irelayd Oct 26 22:05:14 2020 INFO relay0[431963]: relayid=1 action=close cibytes=149 cobytes=1026 sibytes=992 sobytes=149 duration=50.299 reason=byserver

  • "action" の意味については以下で解説します。

    action 意味 補足
    accept 接続の受け付け  
    start 中継の開始
    • ログの時刻が中継を開始した時刻
      • (ログを記録しているコンポーネント = 中継しているコンポーネント)
    rulematch FW ルールへのマッチ
    • auth: マッチしたポリシー名 (先頭にポリシーの順番を表す番号が付加される)
    • host: 送信先アドレスオブジェクト名
    • service: サービスオブジェクト名
    • user: 送信元アドレスオブジェクト名
    ruleresolve FW ルールの決定
    • need_cauth: 常に false
    authok FW ルールによって中継が許可された  
    authng FW ルールによって中継が拒否された  
    connect 中継先への接続  

    close

     

    中継の終了

    • ログの時刻が中継を終了した時刻
    • 以下はいずれも制御用の通信とデータ転送用の通信の合算
      • cibytes: クライアント方向の受信バイト数
      • cobytes: クライアント方向の送信バイト数
      • sibytes: サーバ方向の受信バイト数
      • sobytes: サーバ方向の送信バイト数
    • duration: 経過秒数 (ミリ秒まで)
    • reason
      • timeout: 無通信の状態が続いたことによるタイムアウト (idle timeout)
      • byclient: クライアントから切断
      • byserver: サーバから切断
      • authng: FW ルールによって中継拒否
      • connerr: 中継先への接続失敗
      • cviolation: クライアント側による FTP プロトコル違反
      • sviolation: サーバ側による FTP プロトコル違反
    注 意

      IPv6 から IPv4 に NAT した場合 action=close の統計情報で opacket, obytes が 0 になります。

    注 意
      Passive FTPの場合、NAPTを設定している場合において、id=unknown action=srcnat のログが出力されます。