ファイアウォールの基本概念について

前へ 次へ
このQ&Aのポイント
  • ファイアウォールの基本概念について教えてください。インターネットでWebを公開する場合、ルータ側でNATやファイアウォールの設定を行えば問題ないと考えています。
  • ファイアウォールには外向けのインタフェースと内向けのインターフェースがあります。外向けのインタフェースから内向けのインターフェースへの通信はデフォルトでは許可されていません。
  • ファイアウォールはポート番号で許可、拒否を行なっており、外部インターフェースから内部インターフェースにはデフォルトでは接続できない仕様です。例外的に、特定のポート番号を許可する方法があります。
回答を見る
  • ベストアンサー

ファイアウォールの基本概念について

ファイアウォールの基本概念について教えてください。インターネットでWebを公開する場合、ルータ側でNATやファイアウォールの設定を行えば問題ないと考えています。(DirectDNSの問題とルーティングテーブルはクリアしている事を前提としています。)しかし、ネットワーク機器にはこれだけではクリア出来ません。その一つに、外向けのインタフェースと内向けのインターフェースには、security-level という項目があります。どうやら、このレベルは高い値から低いところへのみ許可されております。この方法を解除する場合、以下の構文で許可をする様です。「access-list inside extended permit tcp 192.168.1.0 255.255.255.0 host 192.168.5.37 eq www」同様の構文で記載をしても外部インターフェースに接続している端末は、内部にも、外部にも出ることが出来ません。(ICMPで確認済み)考えられる事は、NATとこのaccess-listという設定が関係しているのですが、ICMPを許可しても通りません。ファイアウォールはポート番号で許可、拒否を行なっている事は理解しているつもりですが、外部インターフェースから内部インターフェースにはデフォルトでは接続出来ない仕様であるものと考えています。例外的に、そのポート番号を許可するに必要な方法がよくわかりません。どなたか基本概念とネットワーク構築をされた方で、この問題解決方法を教えて下さい。使用している製品は、「CiscoASA5000シリーズ」です。宜しくお願い致します。

質問者が選んだベストアンサー

  • ベストアンサー
  • honeuk
  • ベストアンサー率100% (1/1)
回答No.1

前提として、全ての通信をASAで止めている想定での回答ですが。 記載ポリシは、外から192.168.5.37の80のみを通しているので、内から外も同様に記載が必要だと思います。 ICMPも記載しないとASAで落とされると思うのですが、syslogなどに出力されてませんか?

tshigeo2000
質問者

補足

ご回答有難う御座います。syslogサーバは立てていないので、わかりませんが、基本概念として、行きに対して帰りのACLが 必要という事ですね。どうしてもマニュアルを見ると、行きだけの概念を記載している情報を見ることが多いため、 そこまで着眼出来ていないのが現状です。頂いた情報を元に試してみたいと思います

  1. カテゴリ
  2. パソコン・スマートフォン
  3. PCパーツ・周辺機器
  4. ルーター・ネットワーク機器

関連するQ&A

  • ファイアウォール・・・

    教えてください。 ルータのWAN側はISPよりグローバルアドレスを動的に取得します。LAN側には、たとえば192.168.10.1のプライベートアドレスを振ります。またルータでNATを有効にします。 ルータの下部にファイアウォールを置き、WAN側に192.168.10.2をLAN側には192.168.200.1を振り、セグメントを分け、ファイアウォールでもNATを有効にします。 このような場合、192.168.200.0のネットワーク内のPCのデフォルトゲートウェイは192.168.200.1でよいのでしょうか。 また、このような構成で外部(インターネット側)との通信は出来るでしょうか。ファイアウォールは、外部との通信を許可してます。

  • ネットワークとファイアウォール

    Windows同士でデータをやりとりする為 ネットワーク接続をしたいのですが、 〔このネットワークリソースを使用する アクセス許可がない可能性があります〕 となって開くことができません。 物理的にはping等で確認し、つながっているのは確認しました。 Windowsのファイアウォールは〔有効〕ですが 〔例外〕の〔ファイルとプリンタの共有〕はチェックしています。 ファイアウォール〔無効〕にすればいいのかもしれませんが、 外部からの侵入を防ぐ手段として〔有効〕にしておきたいです。 内部のやりとりにまでファイアウォールが効いている為 開けないようで、 なにかよい方法があれば教えてください。 よろしくお願いします。

  • ファイアーウォールでの宛先と送付元の同時NAT

    画像の説明 A=サーバー 仮にipアドレスが192.168.1.5/24 Cのipアドレスや許可していないアドレスからは接続させない設定 拒否 CのLAN側192.168.1.1/24や許可した物以外のすべて 許可 C以外の192.168.1.0/24と拡張用にとっておいた192.168.2.0/24 B=クライアント 仮にipアドレスが192.168.1.0/24のうちでどれか C=ファイアーウォール 仮にLAN側が192.168.1.1/24WAN側が10.10.10.1/24 D=モデム E=インターネット こんなネットワークがあります。 Bのサーバーは内部にしか公開していないサーバーでBのような端末がいっぱいあるネットワークに所属しています。 今度このサーバーを外部にも公開したいのですがサーバーの設定をかえる許可がでません。 そこでファイアーウォール(JuniperのSSG20という製品です。)を設定しなおし対応しようと思っているのですが サーバーの接続拒否設定もありただCのファイアーウォールで宛先NATJuniperでいえばMIPをして 10.10.10.10を192.168.1.5に変えただけでは送付元が拒否の範囲なので接続できません。 そこで将来のLANを拡張用にしておいた192.168.2.0のネットワークアドレスが許可になっているのを 利用して送付元をこの192.168.2.0/24で動的NATをしてやればうまくいくんじゃない?という話になっています。 ただ夜間にですが実験を行ったところどうにもうまく接続できない状態です。 CiscoのルータをCとDの間にはさみそこで宛先と送付元の二つをNATしてあげるのはうまくいきそうなのですが ファイアーウォールのSSG20だけでなんとかこの二つのNATをしてあげることはできないでしょうか? もしくはなにかいい方法があればと思い質問させていただきます。 ちなみにサーバーの設定変更や専門業者への依頼はできない制約になっています。 あとログの確認のしやすさのため外部から接続してきたPCの192.168.2.0/24のネットワークアドレスで 動的に振り分けないといけないというのも必要なのです。 ネットワークの知識があまりないためうまくご説明できないのですが どうかよろしくお願いいたします。

  • FireWallの設定の仕方について

    FireWallの設定の仕方について教えてください。素人です。 ネットワーク ⇔ ファイアウォール ⇔ ネットワーク と、LAN間にファイアウォールを設定したいのですが、ポートの指定の仕方がわかりません。 例えば、SMTPのプロトコルを通す場合、通常はin側をanyで許可して、アウト側にポートを指定して許可するのが普通なのでしょうか? (そういうHPがありましたので。。。) なんでin側もアウト側と同じようにポート指定しないのでしょうか? ざっくりとした質問ですいません。 ポート指定の方法(ルール)などの参照先を教えて頂けるだけでもかまいません。

  • ファイアーウォールの通信のブロックの仕方について。

    ノートン2004インターネットセキュリティを使っているのですが、ファイアーウォールっていう機能は外部からの通信(例えば侵入など)を防いでくれるのはわかるのですが、自分のパソコン内部からの通信はブロックしないのでしょうか? 例えば、新しいブラウザソフトを初めて立ち上げた時に、ノートンが立ち上がって、許可しますか?など聞いてきますが、これはこちらのパソコン内部から外部への発信を許可するのを聞いているのか、外部から内部への発信を許可するのを聞いているのかどっちなんでしょうか? もし、内部からの発信はブロックしないなら、ウイルスやスパイウエアが侵入していたら、内部の情報を外部に漏らすってことになると思うのですが、どうなんでしょうか? 皆さん、よろしくお願いします。

  • ファイアウォールのNAT設定について

    JuniperのNetScreen-5GTを利用しています。 以下の状態を実現したいのですが、お知恵を貸していただけませんでしょうか。 ・ 複数の外部URLと複数の内部サーバをNAT変換で結びつける (URLと内部サーバは1:1対応) ・ 用意するグローバルIPは1つ ・ ユーザが入力するURLにポート番号はつけさせたくない グローバルIPは1つで、www.service1.jpにアクセスした場合は内部サーバ1を表示、www.service2.netにアクセスした場合は内部サーバ2を表示といった具合です。 グローバルIPを増やすとか、URLにポート番号を付けるなど条件を崩せば可能なことはわかるのですが、この条件だとどのような設定になるのかわかりません。 どなたかわかる方、教えていただけませんでしょうか。 NetScreen-5GTに限らず、概念的な説明や、キーワードのご提示でも構いません。宜しくお願い致します。

  • CentOS7firewall-cmdでESP許可

    CentOS7を使ってLinux基礎の勉強中の初心者です。 ァイアフォール設定をfirewallの管理コマンド(firewall-cmd)で行っています。 ※CentOS7からファイアフォール設定が「firewalld.service」になったのでiptablesを直接見たり編集することはありません。 【質問】 あるゾーンにポート番号の概念のないESP(プロトコル番号50)を許可したいのですがやり方がわかりません。 どのようにしてプロトコル番号50を許可すればよいのでしょうか? 例えばあるゾーンに対してhttp許可する場合、2つのやり方がありますよね。 【ポート番号で有効化(許可)】 firewall-cmd [--zone=] --add-port=80/tcp または 【サービス名で有効化(許可)】 firewall-cmd [--zone=] --add-service=http 上記2つの方法に習い、ESP許可をサービス名に指定してみましたが(当然ながら?)プロトコル番号の許可はできませんでした。 firewall-cmd --add-service=esp  Error: INVALID_SERVICE: esp ちなみに現在のゾーンはpublicで、このpublicにESP(プロトコル番号50)を許可したいのです。 ********************************************** public (default, active) interfaces: enp2s0 sources: services: dhcpv6-client http ssh ←サービス名で許可 ports: ←ポート番号で許可 masquerade: no forward-ports: icmp-blocks: rich rules:

  • Windows ファイアウォール

    先日あるソフトをインストールした時に、 「全てのパブリッシング ネットワークとプライベートで、Windowsファイアウォールによりいくつかの機能がブロックされています。」と警告が出てきました。 こういった場合、許可していいのでしょうか? また、許可する場合の選択として、 「プライベートネットワーク」と「パッブリックネットワーク」の どちらにチェックを入れればいいのでしょうか? ファイアウォールに関するページを探したのですが、どれも高度な設定ばかりで 中々理解が難しく、できれば初心者にも理解できるレベルでお願い致します。

  • スパイウェアはファイアウォールで防げますよね?

    認識が間違っていたらごめんなさい。 スパイウェアとはPC内部の情報を外部に持ち出すというものですよね? ですがクライアント型のファイアウォールを使うとアプリごとにパケットが出て行くのを監視できて、 おまけにXPのFW機能なんかだと不必要なポートは全て閉めちゃえますよね? これだけでWEBやメールに使用するポート以外は閉められると思うのですが、 認識が甘いのでしょうか? 甘いとしたら、スパイウェアはどのように外部に情報を持ち出してしまうのでしょうか? 3ヶ月ほどそんな考えでいるのですが間違っておりますでしょうか?宜しくお願い致します。

  • ファイアーウォール Sygateのアドバンスドルール

    他のカテゴリに質問したのですが、レスがつかなかったのでこちらに投稿させていただきます。 カテゴリが間違っていたら、すみません。 ファイアーウォールのSygateのアドバンスドルールを設定したのですが 問題が無いのか、お分かりになる方チェックお願いいたします。 先日、有線LANから無線LANに変えたのですが 楽天だけページ表示が遅くなってしまいました。(Yahoo!やamazonなど他のショッピングサイトは問題ありません) 1分以上経っても表示しきれず、画像も切れてしまいます。 クッキーを切るとサクサク動くのですが、クッキーを有効にするととたんに重くなります。 IE7・FF3・Opera9全て重いです。 ファイアーウォールにSygateを使っているのですが、Sygateを終了すると問題が解消されます。 なので、FWが問題なのだと分かりました。 トラフィックログを眺めてみると 192.168.1.1 ICMP Incoming 楽天に繋いだとき、これが頻繁にブロックされているようで(意味は分かっていません) まずこれを解消してみようと思いました。 これらで検索して、アドバンスドルールを書く必要があると知り そのサイトの見よう見まねで設定してみました。 ルール 概要:  このルールが許可する対象は受信トラフィック発信元で IPアドレス  192.168.1.1のICMPタイプ 0,3,4,5,8,9,10,11,12です。  . このルールは全てのネットワークインターフェイスに適用されます。 動作→ このトラフィックを許可 ネットワークインターフェイスにルール適用→ 全てのネットワークフェイスカード IPアドレス→ 192.168.1.1 プロトリコル→ ICMP 適用したもの  Echo Reply 0  Destination Unreachable 3  Source Quench 4  Redirect 5  Echo Request 8  Router Advertisment 9  Router Solicitation 10  Time Exceeded for Dataram 11  Paramter Problem for Dataram 12 適用しなかったもの  Timestamp Request 13  Timestamp Reply 14  Information Request 15  Information Reply 16  AddressMask Request 17  AddressMask Reply 18 こんな感じです。 すると楽天に繋ぐことが出来ました。 ICMPの適用したもの(Echo Reply 0~)はさっぱり分かりませんでしたが、全て設定するものか分からなかったので 設定を検索して出てきたサイトで、たまたま載っていたものだけそのまま適用させています。 楽天を見るという目的は果たせたのですが、知識がないまま設定してしまったため このルールはセキュリティ的に問題が無いのか、不安に思っています。 今までFWも入れただけという状態で、アドバンスドルールも初めて使い 設定にある言葉の意味もよく分かっていません。 セキュリティについて、無知で申し訳ありませんが このルールに問題があったり直す事があれば、ご助言ください。 どうぞ、よろしくお願いいたします。

注目のQ&A

カテゴリ

専門家に質問してみよう

職業から探して質問する

あなたにピッタリな商品が見つかる! OKWAVEセレクト

質問する