 |
|---|
週アスPLUSを守るファイアウォールの導入という今回の計画からすると、第2回で紹介した基本設定でOKだ。しかし、最新のUTMであるFirebox X Peakであれば、かゆいところに手の届く詳細なアクセス制御の設定が可能だ。今回は、設定等をサポートしてくれたウォッチガード・テクノロジー・ジャパンの尾澤優樹氏(以下WG尾澤)と管理者の志村、TECH.ASCII.jpの大谷(以下TECH大谷)が、Fireboxを実際に設定してみた感想やより高度な使い道について語り合った。
さくさくレスポンスがカ・イ・カ・ン
Windowsの設定ツールは超快適!
|
|---|
| Mr. Fireboxといえるくらい製品に精通しているウォッチガード テクノロジー ジャパンの尾澤優樹氏。導入まで手とり足取りでサポートいただいた |
志村:今まで、ソニックウォールとフォーティネットとか、ノキアのIPシリーズとか使った経験があり、今回初めて赤箱を触ったんですが、Fireboxって今までのファイアウォールにはない新機軸があるかなと思いました。たとえば、設定ツール上でフィルタがアイコンになっていて、そのフィルタの順序とかも自動的に並べてくれるとか、けっこう衝撃的。初心者でもさくっと使えてしまうかも~と思いました。
TECH大谷:なんで赤箱に使う機会がなかったんでしょうか。
志村:WebのGUIじゃなかったというのが、担当のSIerさんがお気に召さなかったんでしょうかね。でも、実際使ってみると、Windowsベースの設定ツールというのがまたいいんですよ。
TECH大谷:それって、Fireboxが来てずーっと言ってますよね。具体的にどこらへんがいいんですか?
志村:JavaScriptでできている他社のWebベースのツールとか、動作がもっさりしていていやなんですが、FireboxのWSMはレスポンスもキビキビしてます。あとは1つの管理画面で複数のFireboxを設定できますよね。
WG尾澤氏:はい。もともとFireboxはファイアウォールとVPNのための箱だったので、世界中に散らばっているFireboxを一元管理する必要があり、今のような管理画面になったんです。あとは、なにかが起こったらリアルタイムに調べられるように、ログとレポートに関しては昔からかなり充実した機能が付いています。最新バージョンでは、非常に深いレベルまでログを見ることができますね。
志村:そもそも設定ツールをインストールしておかないと、アクセスできないっていうのも管理者的に安心。
WG尾澤氏:FireboxはこれまでWindowsの設定ツールしか付いていませんでしたけど、理由は志村さんのおっしゃった通りで、管理者以外に簡単にログインさせないというのが大きいです。ただ、最新版のFireware XTMでは市場のニーズに応え、WebのGUIとコマンドラインの操作も追加されましたので、3種類の操作体系から選べます。古くからのユーザーはWindowsベースのWSMを使っていただければいいですし、新しいユーザーはWebのGUIで設定できるわけです。
志村:他社とかはバージョンアップすると、GUIがどんどん変わるのが嫌なんですよ。その点、Fireboxは安心ですね。
TECH大谷:でも、原稿を見た限り、初期導入が簡単ですねえとは、にわかには言い難いんですが(笑)。
|
|---|
| Fireboxが見つからないというダイアログ。マニュアルをよく読もう(第2回参照) |
志村:あ・れ・は~、クイックスタートガイドに書いてなかっただけです。まったく考えずポート0につないでたんですが、尾澤さんに電話したら「おかしいなぁ。ポート1につなぐだけなんだけどなあ」というコメントが返ってきて、「ぐげっ? ポート1だったのか……」と心の中で思っていました(笑)。
WG尾澤氏:ご迷惑をおかけしました。通常は、日本語のアクティベーションマニュアルというのが付いているので、あまり迷わずできると思います。
TECH大谷:というか、エンドユーザーがいきなりアクティベーションの作業とかしないですから。普通。
志村:そうなんですかねえ。
選択するだけの簡単ポリシー設定を試してみよ!
志村:あと今回導入した機種は全部ギガですから、100Mbpsだった過去のファイアウォールに比べて、パフォーマンス的に気持ちいいですね~。各ポート独立でポリシーが切れるのも大きなメリットです。
WG尾澤氏:新しい機種だと、たとえば6番と7番のポートをまとめてハブとして使いつつ、特定のポリシーを割り当てるとか可能です。VLANも使えますし。
TECH大谷:そこらへんは昔のファイアウォールと違って、ネットワークの知識も必要ですね。
志村:今回Fireboxで作ったのは、こちらのLANからあちらのLANに対して、このポートを開けておこうといった、すごく単純なポリシーだけです。はっきり言って、持てる力の1/144も使ってません。ただ、興味本位でいろいろ使ってみると、レイヤ7のプロキシとかとても面白いんですよ。複数のプロキシが集まってできていて、HTTPでもWebDAV以外のベーシックなものは通過させて、特定のサイトのHTTPSは遮断しつつ、P2PやIMを止めるみたいな細かいフィルタが書けるんです。すごい便利そうです。
|
|---|
| HTTPプロキシを使って、詳細な設定が行なえる |
WG尾澤氏:我々は「マジックポリシー」と呼んでいるのですけど、ポートに関係なく特定のアプリケーションやトラフィックを制御できます。
志村:しかも、ほとんど大量にテンプレートが用意されているので、それを選ぶだけなので簡単です。右クリックメニューで新しいポリシーを追加して、出てきたダイアログで選定すればいいんです。やりたいことを指定すると、あとは機械がやってくれるって感じですね。
TECH大谷:昔に比べて、こうしたフィルタの作り方で特徴的なところはありますか?
WG尾澤氏:以前、ファイアウォールというと外から内のトラフィックを制御するパターンが多かったんですが、最近は情報漏えい対策で内から外という制御も増えてきましたね。Fireboxでは、たとえばExcelの生データをSMTP経由で出さないとか、Cookieや株価が見えるJavaは出さないといった設定も可能です。実際、金融関係のお客様とかは、こうした設定をしてます。きちんと外部データベースのユーザー認証をパスしないと、外に出さないといったアクセス制御もできますね。
志村:そういう点だとポリシーの宛先・送信元は、IPアドレスではなくて、ホスト名とか、ユーザー名が指定できるんですよ。私はけっこうびっくりしました。
WG尾澤氏:そこはアプリケーションゲートウェイのメリットですね。
TECH大谷:昨今多くの攻撃がHTTPの80番ポートを使っていて、うまく制御できない状況がありますが、Fireboxであれば正常な通信と攻撃をきちんと識別してくれるわけですね。
志村:技術部では、以前からFireboxって週アスPLUSにはもったいないと話していて(笑)、基幹のファイアウォールに使いたいくらいです。現在、ISPのサービスを使っているVPNとかも、Fireboxでリプレイスしようとすら考えてます。
(次ページ、最新版では性能も機能もより充実 )
この連載の記事
-
第2回
デジタル
実機を設定する管理者、GUIの操作性に驚嘆す -
第1回
デジタル
下心を隠す管理者、INTEROP TOKYOで赤箱と出会う - この連載の一覧へ
