- ベストアンサー
ファイアウォール セキュレィテイポリシーの設定について
- みんなの回答 (5)
- 専門家の回答
質問者が選んだベストアンサー
- ベストアンサー
ファイアウォールの設定だけを考えると 基本的に必要最低限のホストとサービス解放する ということですね。 各サービスでどういったポートを使うのかは、 たいていファイアウォールの基本サービスに入っていると思いますが(通常はそれを利用しますね) ベストのセキュア状態となると、やはり個々に設定するのがよろしいかと。 そうなると各サービスの通信手順等を詳しく知る必要があります。 例えば単純にDNSサービスとした場合、普通ファイアウォールの基本サービスに入っているDNSなら 「53/TCP」「53/UDP」とTCP,UDPの両方が入っていると思いますが、 実際53/TCPはゾーンの転送等で使われるため運用によっては止めることができます。 メールならIDENTはふさぐとか、pingだけならICMPのTYPE0,8のみ開けるとか 個々に設定すれば(できればですが)セキュリティ向上になるでしょう。 あとは、内部PCから全て外部にhttp等接続するのではなく、 プロキシを立ててそれのみ外部接続を許可するとかでしょうか。 現在の状況をもっとくわしく記載すると回答がつくかもしれません。 ・DMZのメールサーバ →MTAの種類は?(IISのSMTPかな?) 内部には別にメールサーバがありそこにSMTPリレーしているのかな? ・DMZのWebサーバ →httpのみでいいかな?SSLは使わない? ・DNS(内部、DMZのDNSサーバ) ・内部PCからインターネット接続 →http,https,ftpくらいかな? ftpはPORTとPASV両方つかうのかな? ...etc 実際にはこのように詳細に設定していくというよりは、 サーバのセキュリティホールを埋める作業の方が セキュアということであればウェイトを占めているかもしれませんね。
その他の回答 (4)
- gold8
- ベストアンサー率31% (60/191)
> 内部には別にメールサーバがありそこにSMTPリレーしているのかな? メールサーバーはトータルでDMZ内に一台のみ設置を予定しています。 MTAを使用してリレーをしないとLANからはメールはとれなくなるのでしょうか? (すいません。ファイアウォール初心者なので全くわかりません。) ⇒ ファイアウォールは全く関係ありません。SMTP と SMTPの中継の問題です。 SMTP のアプリケーションの解説は以下のサイトで。 @IT:公開と隠ぺいのジレンマ「SMTP」 http://www.atmarkit.co.jp/fnetwork/rensai/netpro05/netpro01.html http://www.atmarkit.co.jp/fnetwork/rensai/netpro06/netpro01.html >ftpはPORTとPASV両方つかうのかな? FTPについてはPORTのみ使用予定です。(問題でしょうか??) ⇒ファイアウォールを通過しませんので、PASVモードの使用をお勧めします。 @IT:過去からの贈り物「FTP」 http://www.atmarkit.co.jp/fnetwork/rensai/netpro11/netpro01.html http://www.atmarkit.co.jp/fnetwork/rensai/netpro10/netpro01.html ちなみに、このサイトのシリーズは、書籍でも販売してます。プロトコルレベルはすべて解説してあります。このさい是非購入しても損はないと思います。 「インターネットプロトコルがわかる」技術評論社:ISBN4-7741-1383-2、1780円 あと、Windows サーバのセキュリティ構築についても書籍がでてます。 「Windows NT/2000 Server インターネットセキュリティ」オライリー・ジャパン オライリーURL:http://www.oreilly.co.jp/BOOK/wnt2ksec/
お礼
有難うございます。この本を是非購入したいとおもいます。
スニファリングツール、LANパケットアナライザなどとよばれるようなソフトでチェックしてはいかがでしょうか? 探せばフリーのものもありますから、これらで流れているパケットをすべてキャプチャーして使われているものを見てみるのが良いと思います。 ちなみに、プロトコル制限では、あいているポートに対しての攻撃は可能ですから、使っているサービスに関するのセキュリティ対策は、きっちりしておきましょう。
- selenity
- ベストアンサー率41% (324/772)
ベストなセキュリティレベルを模索する前に最低限必要な設定のリストアップをしましょう。 DMZ内のサーバは「MSのセキュリティパッチを必ず充てておく」のが基本です。 これだけは絶対に忘れないでください。 ベストなセキュリティレベルは「ネットワークにつながない」ことです(笑)。 これぞ究極のセキュリティ!!
補足
返答ありがとうございます。 そうですね。わたしも日頃からパッチ当てだけは神経をとがらしてやってます。 >ベストなセキュリティレベルは「ネットワークにつながない」ことです(笑)。 確かに!!
- asuca
- ベストアンサー率47% (11786/24626)
取りあえずTCP/IPのポートを利用するプロトコルの一覧がありますのでそれをみてみてください。 職場であればネットゲームなんかの設定は必要ないかと思いますのでそれほど難しくないかと思います。 http://www.airstation.com/menu/tech/soft/info.html 余り開ければ色々出来るがセキュリティの問題があるということで最低限HTTP,FTP,TELNET,gopherなんかのポートを開けておいて時々SyslogをみてRejectされているプロトコルをチェックして必要そうなプロトコルだったら開けてやる程度で良いかと思います。
補足
ご解答ありがとうございます。 やはりその手が一番早く正確なのでしょうか? ただファイアウォールの導入後に社内からのクレームの嵐だけは、なんとしてでもさけたいです。(笑) 現在社内で使用している全てのプロトコルを調べる事ができる無料ツールなどはないのでしょうか?
関連するQ&A
- ARCserve使用時のFirewall設定について
BrightStor ARCserve Backuo r11.5 for Windowsを導入予定です。 ネットワーク的には、Firewallを介して、Public、DMZ、Internalのゾーンが設定されています。 DMZに設置される、Webサーバのデータを、Internalに設置されるストレージサーバへARCserveを利用してBackupする際に、Firewallの設定変更が必要となります。 この場合、ARCserveのコントロールやBackupされるデータを通すためのポート(TCP及びUDP)のポートは、どれになるか分かりませんでしょうか? マニュアル等ダウンロードして確認してみたのですが、明示的に記載されている部分もあれば、「動的ポート」というような表現があります。 そこで、ご指導頂きたいのが、 (1)一般的にARCserveを使用する際にあけておく、ポートおよびその方向(Internal→DMZ DMZ→Internal)など。 (2)逆にARCserveで、こういうポートを指定して、それにあわせてFirewallを設定するというご経験があれば。 何とぞよろしくお願い致します。
- 締切済み
- ネットワーク
- FireWallの設定の仕方について
FireWallの設定の仕方について教えてください。素人です。 ネットワーク ⇔ ファイアウォール ⇔ ネットワーク と、LAN間にファイアウォールを設定したいのですが、ポートの指定の仕方がわかりません。 例えば、SMTPのプロトコルを通す場合、通常はin側をanyで許可して、アウト側にポートを指定して許可するのが普通なのでしょうか? (そういうHPがありましたので。。。) なんでin側もアウト側と同じようにポート指定しないのでしょうか? ざっくりとした質問ですいません。 ポート指定の方法(ルール)などの参照先を教えて頂けるだけでもかまいません。
- ベストアンサー
- ネットワーク
- ファイアウォールの設定
お世話になります。 ルータの下部にファイアウォール機器を設置します。 ファイアウォール下部の端末からは、エミュレータを使いVPN間通信を行います。また、VPN間通信とは別にインターネットへの接続も行います。この場合、ファイアウォールの設定はどの様にすれば良いのでしょうか。たとえば、VPNのポート(番号不明)、webのポートを開けてやればよいのでしょうか。 何方か御教授ください。 よろしくお願いします。
- 締切済み
- その他(ITシステム運用・管理)
- ネットワーク設定がわかりません・・・
ネットワーク初心者です。勉強のためDDNSで固定IPを持たず自宅WEBサーバを立てています。 固定IPを持っていないので、下図【現在の構成】のように、インターネットからWEBサーバへのアクセスは、DDNSとルータのポートフォワーディング機能で、プライベートアドレスのWEBサーバに転送されるようにしています。 そしてこの度、興味からファイアウォール(Fortigate60)を購入し、下図【将来の構成】のような構成にしたいと思っています。 固定IPを取得すれば簡単だと思いますが、でもこのまま固定IPは取得せず今まで通りDDNSで運用してみたいのです。 そのような場合、ルータ、ファイアウォール、及びPCやWEBサーバにはどのようなネットワーク設定をしてやればよいのでしょうか? ルータにもファイアウォールにもポートフォワーディング・ルーティング機能があり、どのようにIPアドレス、ゲートウェイアドレス、ポート転送、静的ルーティング等の設定してやればよいのか、複雑でよくわからなく困っています。 【現在の構成】 Internet-[ADSLモデム付ルータ]-[HUB]-[PC] | [WEBサーバ] ・ルータ(AtermDR202)のLAN側は192.168.0.1です。 ・LAN側の機器には全て192.168.0.Xを割り当てています。 ・PC、WEBサーバ用PCのデフォルトゲートウェイ設定は192.168.0.1です。 ・ルータはPPPoEブリッジの機能有 【将来の構成】 Internet-[ADSLモデム付ルータ]-[F/W]-LAN側:PC | DMZ側:WEBサーバ ・ファイアウォールは LAN側ポート×4、WAN側ポート×2、DMZポート×1 を備えています。 ファイアウォールを設置する意味など、ツッコミどころはあるかもしれませんが、どうぞよろしくお願いします。
- ベストアンサー
- ネットワーク
- Firewallを導入する意味
初歩的な質問で恐縮です。 ホームオフィスのような環境で個人で仕事を始めた友人にFirewall導入の要否を質問されたのですが、、Firewallを導入する意味がよくわからなくなってきました。 例えば、個人宅でインターネット契約する時にISPから提供されるルータでインターネットをしますが、その状態だけでも外からのアタックは防げますよね?ルータがあれば外(WAN側)から内(LAN側)へアクセスはできないはずなので(外ー内のルーティングを設定しない限り)。 となると、Firewallを導入する理由は、 -内←→外へのアクセスでPort制限する -DMZ上に置いたWebサーバを外部に公開する とか、そのような状況のみに必要で上記の友人のような環境では、不要でしょうか? または、Firewallを導入しないでルータだけだと実はLAN内のPCに不正アクセスされる可能性が高いとか、かなり危険なのでしょうか?
- ベストアンサー
- ネットワーク
- オラクルの為に空けるポートは?
kaituyoと申します。 今度FW(SonicWALL)を設置して、DMZにWebサーバを設置します。それで、ユーザーに対してサービスを提供するのですが、DMZ側のWebサーバとLAN側のDB(オラクル)を連動させる必要があります。そのとき、FWはどのポートを空ける必要があるのでしょうか? 調べた範囲では、 Web → DB 1521ポート (TCP) DB → Web anyポート (TCP) ではないのか?と思うのですが自信がありません。実際に導入した事例や、情報がのっているHPを教えてください。 よろしくお願いします。
- ベストアンサー
- ネットワーク
- Windowsファイアーウォールの設定
現在、ウィルスパターン配信サーバを構築しています。 環境:WindowsServer 2012R2 Standard 以下のような通信制限をファイアーウォールで掛けられるかをご教授ください。 (1)基本すべての通信を許可する。 (2)httpとhttpsのポートを閉じる。 (3)指定するipアドレスのみ、閉じたポートの通信を許可する。 (1)と(2)については、windowsファイアウォールのプロパティ画面でプロファイルの受信接続を許可し、受信の規則にてビルドインのWWWサービス規則をブロックするように設定することで実現できたのですが、(3)の設定方法がわかりません。 よろしくお願いします。
- ベストアンサー
- ネットワーク
- ARCserve使用時のFirewall設定について
BrightStor ARCserve Backuo r11.5 for Windowsを導入予定です。 その際に、Firewallの設定で、ARCserveの使用ポート番号を許可する設定を行おうと思っています。 ネットで検索したところ、下記【URL1】の情報が見つかりました。 この【URL1】に記載されているポート番号を許可すれば、問題なく運用できますでしょうか? 【URL1】 http://www.casupport.jp/resources/bab9/tec/021011065.htm また、別の【URL2】を見ると、サーバ側は、「ALL」ポートという風に記載されていたのですが、サーバ側は決まったポート番号を使用しないのでしょうか? 【URL2】 http://www.casupport.jp/resources/bab115lnx/tec/021011872.htm とにかく、ARCserveで使用されるポート番号を調べています。 どなたか詳しい方や経験者がいらっしゃいましたら、教えてください。 よろしくお願いいたします。
- 締切済み
- ハードウェア・サーバー
- ファイアーウォールについて
ファイアーウォールは、社内ネットワークとインターネットとの境界点に設置して、外部からの不正なアクセスを防止する役割をもつ。図1にN社におけるネットワークの構成を示す。 ここで、社員のパソコン(ノートPC)が置かれているエリアを「内部ネットワーク」、webサーバやメールサーバAが置かれているエリアを「非武装地帯(DMZ)」と呼ぶ。非武装地帯には、webサーバやメールサーバAのように(1)コンピュータを配置する。 解答群 ア.インターネットに公開する イ.サーバ機能を提供する ウ.セキュリティ機能を有する エ.内部ネットワークと通信しない ウかアのどちらかかだとは思ったのですが、正解はアなのですが理由がわかりません。 解説をお願いします。
- ベストアンサー
- 情報処理技術者
- 外部インターネットからDNSサーバが認識されません。
OCNエコノミーの回線を使って、 SUN/Solaris(2.6)で、DNSサーバを構築しています。 ファイアーウォールの設定で、外部からDMZのDNSサーバへの dnsポートを許可しており、また当然のことながら、その逆も許可しております。 内部LANから、外部への接続はできるようになっていますが、 外部から、DNSサーバへのアクセスができないようになってます。 どなたか、対処方法、あるいは、考えられる原因などご存知でしたら、 ご教示願えませんでしょうか? よろしくお願いいたします。m(._.)m
- ベストアンサー
- その他(インターネット接続・通信)
補足
早々のご回答ありがとうございます。 >・DMZのメールサーバ >→MTAの種類は?(IISのSMTPかな?) > 内部には別にメールサーバがありそこにSMTPリレーしているのかな? メールサーバーはトータルでDMZ内に一台のみ設置を 予定しています。MTAを使用してリレーをしないと LANからはメールはとれなくなるのでしょうか? (すいません。ファイアウォール初心者なので全くわかりません。) >DMZのWebサーバ >→httpのみでいいかな?SSLは使わない? SSLの使用は今のところありません。 >内部PCからインターネット接続 →http,https,ftpくらいかな? 今のところはそんな感じです。 >ftpはPORTとPASV両方つかうのかな? FTPについてはPORTのみ使用予定です。(問題でしょうか??)