はじめに本書では エフセキュア Linux セキュリティフルエディション を使用して ファイアウォール機能の設定を行う手順について説明します 1. ファイアウォールの概要 1.1 ファイアウォール機能の構成ファイアウォール機能は以下の3 つの項目により構成されています サービス : プロトコルとポート番号により規定された通信の内容 ルール : サービスと接続先を元にした 通信の許可 / 拒否の設定 セキュリティレベル : 複数のルールで構成されたファイアウォールのルールセット 1.2 サービスについてサービスは プロトコル (tcp/udp/icmp 等 ) と開始ポート ( イニシエータポート )/ 応答ポート ( レスポンダポート ) により通信の内容を規定したものです デフォルトで一般的に使用されるサービスが登録されています 1.3 ルールについてルールは 通信先 ( リモートホスト ) とサービスを元に 許可 / 拒否の設定を定めたものです ふたつ以上のサービスを元にルールを作成することも可能です 1
1.4 セキュリティレベルについてセキュリティレベルは 複数のルールで構成されたファイアウォールのルールセットです セキュリティレベルには 以下の 8 種類があります すべてブロック : パターンファイル更新を除いたすべての通信 ( インバウンド アウトバウンドの両方 ) が拒否されます サーバ : サーバ用途向けのルールセットです 主にパターンファイル更新 WebUI の待ち受け SSH の待ち受け / 接続等が許可されています モバイル : モバイル端末向けのルールセットです 主にパターンファイル更新 WebUI の待ち受け Web ブラウジング メール受信等が許可されています ホーム : ホームユースの端末向けのルールセットです 主にアウトバウンドのすべての TCP 通信 WebUI の待ち受け等が許可されています オフィス : オフィスユースの端末向けのルールセットです 主にアウトバウンドのすべての TCP/UDP 通信 WebUI の待ち受け 同一 LAN 内からの SSH 接続待ち受け等が許可されています デフォルトではこのセキュリティレベルで動作します 強化 : セキュリティを強化したルールセットです 主にパターンファイル更新 WebUI の待ち受け Web ブラウジング メール受信 SSH の接続等が許可されています 通常 : 通常のセキュリティレベルのルールセットです 主にアウトバウンドのすべての TCP 通信 WebUI の待ち受け Samba(Windows ファイル共有 ) 待ち受け等が許可されています すべて許可 : すべてのインバウンド / アウトバウンド通信が許可されています 2
2. ファイアウォールルールの追加 変更追加 変更方法ファイアウォールルールを追加 変更する方法は 以下の手順になります 2.1 ファイアウォールルールの追加方法 1) WebUI を開きます メニューの アプリケーション システムツール F-Secure Linux Security を開くか ブラウザを開き http://localhost:28080/ にアクセスしてください リモートから接続する場合は ブラウザを開き https://< サーバの IP またはホスト名 >:28082/ にアクセスし WebUI 用のアカウントでログインしてください 2) WebUI 画面左下の 詳細設定モード にチェックを入れます 3
3) 左ペインのメニューから ファイアウォールルール を選択し 右ペインの 編集するセキュリティレ ベル から 使用中のセキュリティレベル と同じものを選択します 4) 新しいルールの追加 ボタンをクリックします 4
5) 下部に ルールの追加 項目が表示されるので 各項目を記入し ルールを設定します タイプ : 許可ルールか拒否ルールかを選択します リモートホスト : ルールの対象となる接続先を入力します IP アドレス ネットワークアドレ ス (192.168.1.0/24 等 ) ホスト名が使用できます すべてのホストが対象の場合 0.0.0.0/0 と入力してください 同一 LAN を指定する場合 [mynetwork] という記述が利用できます 説明 : このルールについての説明を記載してください フラグ : ルールを適用する NIC カードを記載します ( 記入例 :[if:eth0] [if:eth3]) すべて の NIC が対象の場合 特に記入する必要はありません 6) このルールの対象となるサービスを選択します このルールを使うサービス にある サービス のプルダウンメニューからサービスを選択し 方向 のプルダウンメニューから通信の方向 ( イン / アウト / 両方 ) を選択して このルールにサービスを追加する ボタンを押してください 複数のサービスを登録することが可能です 各サービスの内容は 左側メニューの ネットワークサービス から参照することが可能です 登録したサービスを削除したい場合は サービス名の右側にある ボタンから削除が可能です 5
7) 必要なサービスを追加したら ファイアウォールルールの追加 ボタンを押してください 8) 選択したセキュリティレベルの一番下に設定したルールが追加されます 6
9) ファイアウォールのルールは 上から順に適用されるため 想定通りの動作をするようにルールの順番を変更します ルールは を押すことでひとつ上に を押すことでひとつ下に移動できます 追加したルールが許可ルールの場合 上に同じサービス ( あるいはすべてのサービス ) を含む拒否ルールが存在しないようにします 追加したルールが拒否ルールの場合 上に同じサービス ( あるいはすべてのサービス ) を含む許可ルールが存在しないようにします 一般的には 上に許可ルールを追加し 最後にすべてサービスを対象にした拒否のルールを設定します 10) ルールの移動が完了したら 画面右下の保存ボタンを押します 7
2.2 ファイアウォールルールの変更方法 1) WebUI を開きます メニューの アプリケーション システムツール F-Secure Linux Security を開くか ブラウザを開き http://localhost:28080/ にアクセスしてください リモートから接続する場合は ブラウザを開き https://< サーバの IP またはホスト名 >:28082/ にアクセスし WebUI 用のアカウントでログインしてください 2) WebUI 画面左下の 詳細設定モード にチェックを入れます 8
3) 左ペインのメニューから ファイアウォールルール を選択し 右ペインの 編集するセキュリティレ ベル から 使用中のセキュリティレベル と同じものを選択します 4) 編集したいルールの項目をクリックします 9
5) 画面下部に ルールの編集 の項目が表示されるので 各項目を記入し ルールを設定します タイプ : 許可ルールか拒否ルールかを選択します リモートホスト : ルールの対象となる接続先を入力します IP アドレス ネットワークアドレ ス (192.168.1.0/24 等 ) ホスト名が使用できます すべてのホストが対象の場合 0.0.0.0/0 と入力してください 同一 LAN を指定する場合 [mynetwork] という記述が利用できます 説明 : このルールについての説明を記載してください フラグ : ルールを適用する NIC カードを記載します ( 記入例 :[if:eth0] [if:eth3]) すべて の NIC が対象の場合 特に記入する必要はありません 6) このルールの対象となるサービスを選択します このルールを使うサービス にある サービス のプルダウンメニューからサービスを選択し 方向 のプルダウンメニューから通信の方向 ( イン / アウト / 両方 ) を選択して このルールにサービスを追加する ボタンを押してください 複数のサービスを登録することが可能です 各サービスの内容は 左側メニューの ネットワークサービス から参照することが可能です 登録したサービスを削除したい場合は サービス名の右側にある ボタンから削除が可能です 10
7) 必要なサービスを追加 編集したら ルールの保存 ボタンを押してください 8) 必要に応じて ルールの順番を調整してください 11
9) ルールの順番を設定し終わったら 保存 ボタンを押してください 12
2.3 ファイアウォールルールの有効 / 無効設定設定変更変更方法 1) WebUI を開きます メニューの アプリケーション システムツール F-Secure Linux Security を開くか ブラウザを開き http://localhost:28080/ にアクセスしてください リモートから接続する場合は ブラウザを開き https://< サーバの IP またはホスト名 >:28082/ にアクセスし WebUI 用のアカウントでログインしてください 2) WebUI 画面左下の 詳細設定モード にチェックを入れます 13
3) 左ペインのメニューから ファイアウォールルール を選択し 右ペインの 編集するセキュリティレ ベル から 使用中のセキュリティレベル と同じものを選択します 4) ルールセットの一番左の列が 有効 / 無効のチェックボックスです 有効にしたい場合 チェックを入れ 無効にしたい場合 チェックを外してください 14
5) 有効 / 無効の設定変更が完了したら 保存 ボタンを押してください 15
2.4 ファイアウォールルールの削除削除方法 1) WebUI を開きます メニューの アプリケーション システムツール F-Secure Linux Security を開くか ブラウザを開き http://localhost:28080/ にアクセスしてください リモートから接続する場合は ブラウザを開き https://< サーバの IP またはホスト名 >:28082/ にアクセスし WebUI 用のアカウントでログインしてください 2) WebUI 画面左下の 詳細設定モード にチェックを入れます 16
3) 左ペインのメニューから ファイアウォールルール を選択し 右ペインの 編集するセキュリティレ ベル から 使用中のセキュリティレベル と同じものを選択します 4) ルールセットの一番右の列が 削除用のボタンです 削除したいルールの行の ボタンを押してくだ さい 17
5) ルール削除後 保存 ボタンを押してください 以上 2010 年 11 月 エフセキュア株式会社 18