家庭でも本格的に安全なネットワークを簡単に（5）

本格的な「UTM」が家庭でも「食えます」

インストールは終わりましたが、設定しないと機能しません。しかし、簡単な設定を一通りしてしまえば、ほとんどの機能は動き出します。一気に安全性が上がります。

まずは基本設定

インストールしたばかりでは、ただ単に存在しているだけで何も機能はしていません。唯一、インストールの最後に入力したIPアドレスだけが存在している状況です。インターネットへの接続も設定されていません。

設定用パソコンからアクセスして、指示に従って初期設定。続いて必要な機能を順次設定します。

まずは、DHCP、ウィルスチェック、IPS、ぐらいまでを動かしておきます。

コンテンツフィルタも折角だから利用したいところですが、ちょっと面倒なので、初期設定とは分けて後でアップします。

設定用パソコンの準備

ここからは、ほとんどを設定用パソコンからブラウザ操作で行うことになります。EFW本体を直接操作するのは、トラブル時ぐらいになります。
経験上、ネットワーク構成を大きく変えた時に、うまく切り替わらない個体が時々存在しますが、その程度でした。いや、HDDやSSDがいかれる時もありますね。

この初期設定だけは、パソコンのIPアドレスを手動設定しなければなりません。IPアドレスなどを自動的に割り振る「DHCP(Dynamic Host Configuration Protocol)」と言う機能がまだONになっていないからです。これは後の追加設定で設定してみます。

パソコンのIPアドレスはインストールの最後に設定したアドレスと同一セグメントに設定しておきます。
例えばEFWが「192.168.20.99 / 255.255.255.0」ならば、パソコン側は手動設定で「192.168.20.20 / 255.255.255.0」とでもします。ゲートウェイやDNSは不要です。

アクセス

このIPアドレス設定した設定用パソコンをEFWにLANでつなぎます。

EFW側のつなぐ場所は、通常は追加したインターフェイスではなく、初めから本体についているインターフェイスです。ただ、たまに増設ボード側が優先されるモデルもありますので、以下のブラウザでのアクセスがうまくいかない時は、接続先を切り替えてみてください。
USBタイプではその心配はありません。優先選択されません。

まずはブラウザで、インストールの最後に設定したアドレスにアクセスします。
https://xxx.yyy.zzz.www:10443/
「s」と「:10443」が必要です。

https://なのですが、オレオレ証明書なので、今時のブラウザでは一度、駄目出しくらいます。ブラウザごとに違いますが、そこをなんとかとして入ります。

Google Chromeだと、

「詳細設定」を表示させ、

「〜〜〜にアクセスする（安全ではありません）」をクリックして入ります。

今度は、Firefox

「詳細…」を押して、

「危険性を承知で続行」を押して入ります。

Mac版Safariです。

「詳細を表示」を押して、

「このWebサイトを閲覧」をクリックして入ります。さらにでてきますが、
ここでも「Webサイトを閲覧」を押します。
また、今度はシステム側のパスワード要求があるので、パソコンの管理者パスワードを入れて、やっと閲覧できます。

初期設定1

では初期設定です。

ブラウザの最初の画面、

「>>>」ボタンをクリックして、
言語と時間帯を選びます。

これで日本語になります。「>>>」ボタンで進めます。

次は、

お決まりのライセンス承認、

チェックをつけて、「>>>」ボタンで次へ

バックアップから復旧する時は、ここで「はい」として進め、バックアップファイルをアップロードします。
この復旧が非常にお手軽で、ほぼ全ての設定、機能が戻ります。システム運用上、この手軽さは助かります。

今は本当の最初なのでバックアップはありませんから、「いいえ」の「>>>」ボタンで進行。

パスワードの設定です。左側がWebからのパスワード、右側が「SSH (Secure Shell)」のパスワード。
SSHは、暗号化されたリモートのコマンドライン(CUI)入力用です。便利ですがWindowsだと装備されていないので、Windows上で追加機能としてごにょごにょ設定しないと使えません。（間も無く標準装備という話もあります）
「>>>」ボタンを。

初期設定2（ネットワーク）

次がネットワーク設定になります。

EFWでは、各インターフェイスが属するゾーンを色で表しています。
（LANケーブルの差し口がインターフェイス、ゾーンはその種類と思ってください）

RED：インターネット（基本的に危ない）
GREEN：ローカルエリア（安全にする）
BLUE：Wi-Fi（無線LAN、安全にする）
ORANGE：DMZ（インターネット公開用、ちょっと危ないかも）

BLUE、ORANGEは設定でどうにでもなり、特にWi-FiやDMZに特化されている訳でも無いようです。
インターフェイスがたくさんあれば、それぞれのソーンに複数のインターフェイスを割り振ることもでき、その間のやり取りを制御することも出来ます。本格的な商用UTM並みに、GREENを3本使うなんてこともできる訳です。

基本は、REDとGREENです。

こんな感じ。ここでは、この構成のつもりで進めます。
設定画面は、

RED、インターネットへの接続をどうするか決めます。

別にルーターを挟むなら「イーサネット（DHCP）」、EFWを直接光端末につなぐなら「PPPoE」です。
選択して進めます。

インターフェイスが2つで、RED、GREENだけの構成なので選べません。続けます。

使うことにしたゾーンをどのインターフェイスに割り振るかを決めます。赤のバッテンは、ケーブルがどこにも繋がっていない事を示し、緑のチェックマークは動いている事を示してます。
「詳細」と「デバイス」を追っかけて、どれかを判断するのが正当でしょうが、面倒なので、この赤と緑を見てどれがどれか見当をつけます。
まずは、GREENからです。
IPアドレスは、インストール時に設定したもの。変更も追加（複数アドレスを持たせる）も可能です。
インターフェイスは、緑色が選ばれていれば今と同じなので、このままでOK。変えたければ切り替えます。
ホスト名は、このEFWの名前です。お好みで。
ドメイン名は、このローカルエリアの名前です。まあ、お好みで。

進みます。

次は、REDです。

空いているインターフェイスを選択します。これがインターネット側になります。その他はそのままでOK。

前の画面で自動にしたので、いじれません、手動にした場合は、ここでDNS設定をします。
RED側、インターネット上のDNSです。
パソコンでは、EFWがDNSになり、EFWに問い合わせます。EFWが、ここで設定したDNSに問い合わせて答えを得ることになります。

次です。

管理者への通達用アドレスです。必須では無いのでお好みで。

次でネットワーク設定はおしまい。

「設定を適用」で設定を有効にします。
切り替えにしばらくかかります。待ちましょう。

まだ、接続を確立しただけで、機能は動いていません。設定を続けます。