連載
» 2001年09月22日 00時00分 公開

ファイアウォール運用の基礎(5):FireWall-1によるファイアウォール構築 (1/4)

[田原祐介,株式会社ラック]

 連載ではこれまで、ファイアウォールの仕組み、そしてフリーソフトウェアを用いてのファイアウォール構築について解説してきました。今回からは、市販のファイアウォール製品であるCheck Point社の「FireWall-1」を使用したファイアウォール構築法を紹介していきたいと思います。

FireWall-1とは?

 イスラエルのCheck Point社のファイアウォール製品であるFireWall-1(2001年8月現在の最新バージョンは4.1)は、世界で最も多く使われているファイアウォール製品です。その特徴は、以下のとおりです。

  • ステートフルインスペクション
    ステートフルインスペクションとは、パケットのステート(状態)を使用して適切なアクションを設定できるため、非コネクション型の通信(UDPやICMP)に対しても、簡単にルールを適用することができます

  • 分散クライアント/サーバ構成
    FireWall-1は、ファイアウォールモジュール、管理サーバ、GUIクライアントなどから成り、1台のGUIクライアントで複数のファイアウォールを管理することができます。ここでは、最もシンプルな導入例として、ファイアウォールモジュールと管理サーバを1台のマシンにインストールし、GUIクライアントをもう1台のマシンにインストールする構築例を紹介します

  • さまざまな種類のOSに対応
    Windows NT/2000、Solaris、Linuxなどを始めとする多様なOSに対応しているため、選択の幅が大変広くなっています。また、専用のOSを使ったアプライアンス型の製品もあります(例:ノキアの「IP」シリーズなど)

FireWall-1の導入法

 ここでは、FireWall-1を使用したファイアウォールの構築手順を紹介します。おおまかな手順は以下のとおりです。

  1. ハードウェア/OSの選択
  2. OSのインストール
  3. FireWall-1のインストール
  4. GUIのインストール
  5. オブジェクトの作成
  6. デフォルトのルール
  7. プロパティの設定
  8. ポリシーの作成と適用
  9. そのほかの設定
  10. ポリシー作成のコツ

●ハードウェア/OSの選択

 ハードウェアはできる限り信頼性の高いものを使用します。また、RAID(特にミラーリング)を使用して、RAID内のいずれかのHDDが故障しても、残りのHDDで動作し続けるような構成にしておいた方が安全です。さらに、高信頼性や高いスループットを必要とする場合は、専門のベンダーに依頼した方がよいでしょう。

 OSは、安定性やメンテナンスのしやすさを考慮して選びましょう。UNIX系のOSならば、メンテナンスや要塞化も容易に行えます。特にSolarisは、安定性も高く、ソフトウェア RAID*1などの優れた機能を持っているため、ファイアウォール用のOSとしてお奨めです。

*1ソフトウェアRAIDは、ソフトウェアレベルでRAIDを実現する機能です。Solarisでは、「DiskSuite」というソフトウェアを用いてRAIDを実現できます


●OSのインストール

 OSをインストールする際には、余計なものをインストールしないように気をつけます。余計なものがインストールされていると、セキュリティホールが発生しやすくなります。Solarisの場合は、インストールクラスタに「Core System Support」を選択しておけば、余計なもの*2はインストールされません。ただし、Core Systemでは、FireWall-1 のインストールに必要なコマンドがインストールされないので、Solaris 7のSoftware CD-ROMが「/mnt」にマウントされている状態で、以下の手順でコマンドをインストールしておきます。

# pkgadd -d /mnt/Solaris_2.7/Product SUNWlibC
(メッセージに従いパッケージをインストールする)
# mkdir /usr/ucb
# ln -s /usr/bin/ln /usr/ucb/ln

 さらに、追加で以下のパッケージも追加しておきましょう。これには、パッチのバージョンの管理に便利な「showrev」コマンドと、オンラインマニュアルの参照に必要なファイルが含まれています。

# pkgadd -d /mnt/Solaris_2.7/Product SUNWadmc SUNWadmfw SUNWdoc SUNWman
(メッセージに従いパッケージをインストールする)

 OS のインストール後は、必ず最新のパッチを適用しましょう。その後、可能な限りの要塞化を施します。ここでは、前回までの記事を参考に、余計なサービスを停止させておきます。また、メンテナンス用のリモートログインを許可するときは、「telnet」ではなく「ssh」を使うようにしましょう。その際に、sshのアクセス制限で、ログインを許可するIPアドレスをイントラネット側のみに限定します。

*2実は、「Core System」でも一部余計なパッケージがインストールされてしまいます。これらを削除することも可能ですが、多少リスクが伴います。詳しくは、以下のURLを参考にしてください

http://www.enteract.com/~lspitz/core6.txt
http://www.enteract.com/~lspitz/core7.txt
http://www.enteract.com/~lspitz/armoring2.html


●FireWall-1のインストール

 FireWall-1のインストールは、マニュアルどおりに行ってください。ここでは、「ファイアウォールモジュール」と「管理サーバ」を同じマシンにインストールします。この2つのモジュールの機能は、FireWall-1の特徴でもあります。ここでは説明しませんが、あらかじめマニュアルをよく読んで理解しておいてください。

 FireWall-1のインストール後は、必ず最新のサービスパックおよびパッチを適用してください。2001年9月15日現在、FireWall-1 version 4.1には、SP5と2つのhotfixがリリースされています。特に2つのhotfixについては、セキュリティ関係の修正となっているので、必ず適用してください。

 インストール後、次に紹介するGUIクライアントマシンのIPアドレスと、管理用アカウントを指定する必要があります。ここでいうアカウントとは、FireWall-1の設定を行う管理者用のアカウントであり、OSのアカウントとは異なります。特に、OSで使用するアカウントと同じ名前はもちろん、同じパスワードを使わないように注意してください。

(追記:2001/10/1)
9月19日に、Windows NTまたはWindows 2000で動作するVPN-1 /FireWall-1管理サーバに存在する問題のhotfixがリリースされています
http://www.checkpoint.co.jp/techsupport/alerts/buffers_overflow.html


●GUIのインストールとログイン

 FireWall-1の設定は、FireWall-1のGUIから行います。GUIは、FireWall-1本体とは別のWindowsマシンにインストールします。GUIにもサービスパックが提供されているので、最新のものを適用しておきます。

 FireWall-1の設定を行うには、まずGUIでFireWall-1マシンにログインする必要があります。Policy Editor 4.1(ポリシーエディタ)を起動して、ユーザー名、パスワード、IPアドレスを入力します(画面1)。

画面1 FireWall-1インストール時に指定したユーザー名とパスワードを入力する 画面1 FireWall-1インストール時に指定したユーザー名とパスワードを入力する

 ログインに成功するとポリシーエディタのウィンドウが表示されます(画面2)。ここで、FireWall-1の設定のすべてを行うことができます。

画面2 初期状態では、ルールは1つも存在しない(画面をクリックすると拡大表示します) 画面2 初期状態では、ルールは1つも存在しない(画面をクリックすると拡大表示します
       1|2|3|4 次のページへ

Copyright © ITmedia, Inc. All Rights Reserved.

編集部からのお知らせ

RSSについて

アイティメディアIDについて

メールマガジン登録

@ITのメールマガジンは、 もちろん、すべて無料です。ぜひメールマガジンをご購読ください。