Upload
others
View
10
Download
0
Embed Size (px)
Citation preview
1
Linux セキュリティ ファイアウォール設定手順
LinuxLinuxLinuxLinux セキュリティセキュリティセキュリティセキュリティ ファイアウォール設定手順ファイアウォール設定手順ファイアウォール設定手順ファイアウォール設定手順
はじめにはじめにはじめにはじめに
本書では、「エフセキュア Linux セキュリティ フルエディション 」を使用して、ファイアウォール
機能の設定を行う手順について説明します。
1.1.1.1. ファイアウォールファイアウォールファイアウォールファイアウォールの概要の概要の概要の概要
1.11.11.11.1 ファイアウォール機能の構成ファイアウォール機能の構成ファイアウォール機能の構成ファイアウォール機能の構成
ファイアウォール機能は以下の 3 つの項目により構成されています。
• サービス:プロトコルとポート番号により規定された通信の内容
• ルール:サービスと接続先を元にした、通信の許可/拒否の設定
• セキュリティレベル:複数のルールで構成されたファイアウォールのルールセット
1.21.21.21.2 サービスについてサービスについてサービスについてサービスについて
サービスは、プロトコル(tcp/udp/icmp 等)と開始ポート(イニシエータポート)/応答ポー
ト(レスポンダポート)により通信の内容を規定したものです。デフォルトで一般的に使用さ
れるサービスが登録されています。
1.31.31.31.3 ルールについてルールについてルールについてルールについて
ルールは、通信先(リモートホスト)とサービスを元に、許可/拒否の設定を定めたものです。
ふたつ以上のサービスを元にルールを作成することも可能です。
2
Linux セキュリティ ファイアウォール設定手順
1.41.41.41.4 セキュリティレベルについてセキュリティレベルについてセキュリティレベルについてセキュリティレベルについて
セキュリティレベルは、複数のルールで構成されたファイアウォールのルールセットです。
セキュリティレベルには、以下の 8種類があります。
• すべてブロック:パターンファイル更新を除いたすべての通信(インバウンド・アウ
トバウンドの両方)が拒否されます。
• サーバ:サーバ用途向けのルールセットです。主にパターンファイル更新・WebUIの
待ち受け・SSHの待ち受け/接続等が許可されています。
• モバイル:モバイル端末向けのルールセットです。主にパターンファイル更新・
WebUIの待ち受け・Webブラウジング・メール受信等が許可されています。
• ホーム:ホームユースの端末向けのルールセットです。主にアウトバウンドのすべて
の TCP通信・WebUIの待ち受け等が許可されています。
• オフィス:オフィスユースの端末向けのルールセットです。主にアウトバウンドのす
べての TCP/UDP通信・WebUIの待ち受け・同一 LAN内からの SSH接続待ち受け等
が許可されています。デフォルトではこのセキュリティレベルで動作します。
• 強化:セキュリティを強化したルールセットです。主にパターンファイル更新・
WebUIの待ち受け・Webブラウジング・メール受信・SSHの接続等が許可されてい
ます。
• 通常:通常のセキュリティレベルのルールセットです。主にアウトバウンドのすべて
の TCP通信・WebUIの待ち受け・Samba(Windows ファイル共有)待ち受け等が許
可されています。
• すべて許可:すべてのインバウンド/アウトバウンド通信が許可されています。
3
Linux セキュリティ ファイアウォール設定手順
2.2.2.2. ファイアウォールルールのファイアウォールルールのファイアウォールルールのファイアウォールルールの追加・変更追加・変更追加・変更追加・変更方法方法方法方法
ファイアウォールルールを追加・変更する方法は、以下の手順になります。
2.12.12.12.1 ファイアウォールルールの追加方法ファイアウォールルールの追加方法ファイアウォールルールの追加方法ファイアウォールルールの追加方法
1) WebUIを開きます。
メニューの「アプリケーション」⇒「システムツール」⇒「F-Secure Linux Security」を開くか、ブラ
ウザを開き”http://localhost:28080/”にアクセスしてください。
リモートから接続する場合は、ブラウザを開き”https://<サーバの IPまたはホスト名>:28082/”にアクセ
スし、WebUI用のアカウントでログインしてください。
2) WebUI画面左下の「詳細設定モード」にチェックを入れます。
4
Linux セキュリティ ファイアウォール設定手順
3) 左ペインのメニューから「ファイアウォールルール」を選択し、右ペインの「編集するセキュリティ レ
ベル」から「使用中のセキュリティレベル」と同じものを選択します。
4) 「新しいルールの追加」ボタンをクリックします。
5
Linux セキュリティ ファイアウォール設定手順
5) 下部に「ルールの追加」項目が表示されるので、各項目を記入し、ルールを設定します。
� タイプ:許可ルールか拒否ルールかを選択します。
� リモートホスト:ルールの対象となる接続先を入力します。IPアドレス、ネットワークアドレ
ス(192.168.1.0/24等)、ホスト名が使用できます。すべてのホストが対象の場合、0.0.0.0/0
と入力してください。同一 LANを指定する場合、[myNetwork]という記述が利用できます。
� 説明:このルールについての説明を記載してください。
� フラグ:ルールを適用する NICカードを記載します(記入例:[if:eth0]、[if:eth3])。すべて
の NICが対象の場合、特に記入する必要はありません。
6) このルールの対象となるサービスを選択します。「このルールを使うサービス」にある「サービス」のプ
ルダウンメニューからサービスを選択し、「方向」のプルダウンメニューから通信の方向(イン/アウト/
両方)を選択して、「このルールにサービスを追加する」ボタンを押してください。
複数のサービスを登録することが可能です。
各サービスの内容は、左側メニューの「ネットワークサービス」から参照することが可能です。
登録したサービスを削除したい場合は、サービス名の右側にある×ボタンから削除が可能です。
6
Linux セキュリティ ファイアウォール設定手順
7) 必要なサービスを追加したら、「ファイアウォールルールの追加」ボタンを押してください。
8) 選択したセキュリティレベルの一番下に設定したルールが追加されます。
7
Linux セキュリティ ファイアウォール設定手順
9) ファイアウォールのルールは、上から順に適用されるため、想定通りの動作をするようにルールの順番を
変更します。ルールは、▲を押すことでひとつ上に、▼を押すことでひとつ下に移動できます。
追加したルールが許可ルールの場合、上に同じサービス(あるいはすべてのサービス)を含む拒否ルール
が存在しないようにします。追加したルールが拒否ルールの場合、上に同じサービス(あるいはすべての
サービス)を含む許可ルールが存在しないようにします。
一般的には、上に許可ルールを追加し、最後にすべてサービスを対象にした拒否のルールを設定します。
10) ルールの移動が完了したら、画面右下の保存ボタンを押します。
8
Linux セキュリティ ファイアウォール設定手順
2.22.22.22.2 ファイアウォールルールの変更方法ファイアウォールルールの変更方法ファイアウォールルールの変更方法ファイアウォールルールの変更方法
1) WebUIを開きます。
メニューの「アプリケーション」⇒「システムツール」⇒「F-Secure Linux Security」を開くか、ブラ
ウザを開き”http://localhost:28080/”にアクセスしてください。
リモートから接続する場合は、ブラウザを開き”https://<サーバの IPまたはホスト名>:28082/”にアクセ
スし、WebUI用のアカウントでログインしてください。
2) WebUI画面左下の「詳細設定モード」にチェックを入れます。
9
Linux セキュリティ ファイアウォール設定手順
3) 左ペインのメニューから「ファイアウォールルール」を選択し、右ペインの「編集するセキュリティ レ
ベル」から「使用中のセキュリティレベル」と同じものを選択します。
4) 編集したいルールの項目をクリックします。
10
Linux セキュリティ ファイアウォール設定手順
5) 画面下部に「ルールの編集」の項目が表示されるので、各項目を記入し、ルールを設定します。
� タイプ:許可ルールか拒否ルールかを選択します。
� リモートホスト:ルールの対象となる接続先を入力します。IPアドレス、ネットワークアドレ
ス(192.168.1.0/24等)、ホスト名が使用できます。すべてのホストが対象の場合、0.0.0.0/0
と入力してください。同一 LANを指定する場合、[myNetwork]という記述が利用できます。
� 説明:このルールについての説明を記載してください。
� フラグ:ルールを適用する NICカードを記載します(記入例:[if:eth0]、[if:eth3])。すべて
の NICが対象の場合、特に記入する必要はありません。
6) このルールの対象となるサービスを選択します。「このルールを使うサービス」にある「サービス」のプ
ルダウンメニューからサービスを選択し、「方向」のプルダウンメニューから通信の方向(イン/アウト/
両方)を選択して、「このルールにサービスを追加する」ボタンを押してください。
複数のサービスを登録することが可能です。
各サービスの内容は、左側メニューの「ネットワークサービス」から参照することが可能です。
登録したサービスを削除したい場合は、サービス名の右側にある×ボタンから削除が可能です。
11
Linux セキュリティ ファイアウォール設定手順
7) 必要なサービスを追加・編集したら、「ルールの保存」ボタンを押してください。
8) 必要に応じて、ルールの順番を調整してください。
12
Linux セキュリティ ファイアウォール設定手順
9) ルールの順番を設定し終わったら、「保存」ボタンを押してください。
13
Linux セキュリティ ファイアウォール設定手順
2.32.32.32.3 ファイアウォールルールのファイアウォールルールのファイアウォールルールのファイアウォールルールの有効有効有効有効////無効無効無効無効設定設定設定設定変更変更変更変更方法方法方法方法
1) WebUIを開きます。
メニューの「アプリケーション」⇒「システムツール」⇒「F-Secure Linux Security」を開くか、ブラ
ウザを開き”http://localhost:28080/”にアクセスしてください。
リモートから接続する場合は、ブラウザを開き”https://<サーバの IPまたはホスト名>:28082/”にアクセ
スし、WebUI用のアカウントでログインしてください。
2) WebUI画面左下の「詳細設定モード」にチェックを入れます。
14
Linux セキュリティ ファイアウォール設定手順
3) 左ペインのメニューから「ファイアウォールルール」を選択し、右ペインの「編集するセキュリティ レ
ベル」から「使用中のセキュリティレベル」と同じものを選択します。
4) ルールセットの一番左の列が、有効/無効のチェックボックスです。有効にしたい場合、チェックを入れ、
無効にしたい場合、チェックを外してください。
15
Linux セキュリティ ファイアウォール設定手順
5) 有効/無効の設定変更が完了したら、「保存」ボタンを押してください。
16
Linux セキュリティ ファイアウォール設定手順
2.42.42.42.4 ファイアウォールルールのファイアウォールルールのファイアウォールルールのファイアウォールルールの削除削除削除削除方法方法方法方法
1) WebUIを開きます。
メニューの「アプリケーション」⇒「システムツール」⇒「F-Secure Linux Security」を開くか、ブラ
ウザを開き”http://localhost:28080/”にアクセスしてください。
リモートから接続する場合は、ブラウザを開き”https://<サーバの IPまたはホスト名>:28082/”にアクセ
スし、WebUI用のアカウントでログインしてください。
2) WebUI画面左下の「詳細設定モード」にチェックを入れます。
17
Linux セキュリティ ファイアウォール設定手順
3) 左ペインのメニューから「ファイアウォールルール」を選択し、右ペインの「編集するセキュリティ レ
ベル」から「使用中のセキュリティレベル」と同じものを選択します。
4) ルールセットの一番右の列が、削除用のボタンです。削除したいルールの行の「×」ボタンを押してくだ
さい。
18
Linux セキュリティ ファイアウォール設定手順
5) ルール削除後、「保存」ボタンを押してください。
以上
2010 年 11 月
エフセキュア株式会社