家庭でも本格的に安全なネットワークを簡単に（7）

2019/08/27

2019/08/30

この記事を書いている人 - WRITER -

kiyokiyo@UMA

VPN網とintranetを作ってました。無精者なので「簡単、安く確実に」が目指すところ。

本格的な「UTM」が家庭でも「食えます」

ちょっと面倒くさくなりますが、IPS、アンチウィルスを主目的とした、ファイアウォールとプロキシの追加設定です。前段で省略した部分です。

ファイアウォールで、通過を許可する通信にIPSを適用するかどうかを設定します。

プロキシーでは、「コンテンツフィルタ」でアンチウィルスを含んだ「プロファイル」を作成します。
次に、「アクセスポリシー」で、その作成した「プロファイル」を適用させる、この流れです。

追加設定4（ファイアウォールとIPS）

ファイアウォールは積み荷の出し入れ場所を規制するようなもの。IPSはその中身を確認し、不審物として登録してあるものをブロックします。

ファイアウォール設定をします。
<ファイアウォール>の<<送信トラフィック>>から、

「新規ファイアウォールルールの追加」をします。

「送信元」と「送信先」を設定し、ルールを定めたい通信の種類「サービス」を選び、「ポリシー」でそれを許可するか、ブロックするかを規定します。この通過を許可するときにIPSを利用するかを選びます。

サーバを公開しない限り、外部（インターネット）発信を想定する必要はありません。従って、ここで問題にする「侵入」は、外部から直接送られるものでは無く、こちらから発信した通信に対して返事として戻って来る通信がターゲットになります。

ルールを配置する「場所」を決めます。ルールは上から順番に適用されますから配置順は考えましょう。いくら禁止項目やチェック項目を作っても、その上位にその項目を許可するものが入っていたりすると役に立ちません。

「ルールの更新」ボタンを押します。

すると、ルールの一覧の上に緑色のメッセージが表示されます。この状態ではまだ有効になっていません。「適用」ボタンを押して有効にします。
上に隠れていて、スクロールしないと見えない場合が多いので、注意してください。

ファイアウォール適用後

適用されると、今度はこのオレンジ色のメッセージが表示されます。これで有効になりました。

追加設定5（コンテンツフィルタ）

「Create a Profile」で新しいプロファイルを作成します。

識別できるようにプロファイル名をつけ、「アンチウィルスを有効にする」にチェックを入れます。
フィルターの各項目は、

各カテゴリーでブロックしたいものを選んで設定し、「プロファイルの作成」で保存します。

追加設定6（アクセスポリシー）

次は、HTTPのアクセスポリシーを作成します。

「アクセスポリシーの追加」をクリック、作成画面を開きます。

アクセス元種別：全て（ANY）、ゾーン（Greenとか）、ネットワーク/IP（複数または単独のIPアドレス）、MAC（ネットワークアダプタのハードアドレス）から選んで設定します。大体は「ゾーン」で「Green」になると思います。
アクセス先種別：アクセス元と似てますが、最後がMACでは無く、ドメインになります。基本は「ANY」でしょう。「ドメイン」で特定のドメインに許可を与えたり、制限したりも出来ます。
認証：ユーザーやグループを設定してあれば、特定のユーザーのみに適用できます。「無効」で大丈夫でしょう。
時間制限：ポリシーの有効な時間帯を設定します。チェックを付けると、曜日と開始時間、終了時間など詳細な設定内容が表示されます。常時では不要です。
ユーザーエージェント：アクセスするブラウザなどの種類を選べます。特定ブラウザの脆弱性をブロックしたり、WindowsUpdateを禁止したり出来ます。お好みで試してみてください。
Mimetype：拒否するMineタイプ（埋め込まれたファイルの種類）を指定します。結構面倒臭いと思います。
アクセスポリシー：この設定が通信の「許可」なのか「拒否」なのかを指定します。
フィルタプロファイル：ここで作成したプロファイルを選択します。
有効：このポリシーのON/OFFです。一覧からも出来ます。
場所：これも一覧の上から順に適用されますから、置き場所が重要です。