Fireboxにポリシー設定を
Fireboxの下準備はすべて整った。いよいよWSMでFireboxにアクセスし、ポリシーを仕込んだり、HA構成を設定したりする作業だ。WSMを起動し、「ファイル(F)」-「デバイスに接続(V)」を選択すると、接続したいFireboxのIPアドレス、パスフレーズを入力するダイアログが表示される。
Quick Setup WizardでFireboxに設定した、IPアドレス、パスフレーズを指定すると、WSMの画面に、Fireboxの状態が表示される。ちなみに、WSMで複数のFireboxを接続することも可能で、多数のファイアウォールを運用するような場合は、便利だ。管理画面がWUI(Web User Interface)のファイアウォールにはできない、GUI管理画面のWSMの大きなメリットだ。
|
|---|
| WSMで2台のFireboxに接続したようす。こんなことはWUIでは難しい |
ポリシーの設定は、「ツール(T)」-「Poly Manager(P)」を選択すると、ポリシーマネージャが別ウィンドウで開く。最初に目に飛び込むのは、大きなアイコンだろう。1つのポリシー(パケットフィルタ)が1つのアイコンで表示されているのだ。
多くのサーバを要するファイアウォールでは、何十ものポリシーを設定することは珍しくない。そんな場合のために、一般的なファイアウォールと同じように1行1ポリシーのような表示も可能となっている。ちなみに、ポリシーをアドレス、ポート番号、プロトコルなどで検索する機能も用意されており、アイコンやリストの
眼を皿のようにして探す必要はない♪
|
|---|
| ポリシーがアイコンで表示される。ポリシーがそれほど多くなければ、こうした昨今のGUIメタファに即した表示もわかりやすいかもしれない |
|
|---|
| 一般的な1行1ポリシーの表示にきりかることも可能だ |
|
|---|
| ポリシーの検索機能。あるようで、あまり見かけなかった機能だが、ポリシーが多くなってきた場合には意外と便利だ |
「そうはいっても、アイコンではポリシーの順序指定が煩雑なのでは?」とお感じになった向きも少なくないだろう。安心されたし、Firewareにはポリシーの自動順序指定モードが用意されており、以下に示すようなルールによって、ポリシーの順序を自動的に決めてくれるのだ。
これなら、設定されているルールを把握していなくても、誰でも簡単に、間違いなく、そしてきれいにポリシーを追加できる。もちろん、自動順序指定モードをオフにして、手動で順序を指定することもできるようになっている。
アイコンをダブルクリックすると、プロパティダイアログが開き、ポリシーの設定内容を確認、変更できる。ポリシーとして設定できる内容は、送信元、送信先、プロトコル、ポート、スケジュール、QoS、NATなど一般的な内容となっており、これらの入力画面がタブインターフェイスで整理されている。
ポリシーとプロキシポリシー
ポリシーの追加も簡単だ。右ボタンを押して表示されるメニューから「ポリシーの追加」を選択すると、ポリシーの追加ダイアログがポップアップする。あらかじめよく利用されるポリシーやプロキシポリシーのテンプレートが表示されるので、ここに該当するものがあれば、その項目をダブルクリックすればよい。
| Any、Archie、Auth、BGP、CU-SeeMe、Citrix、Clarent-Command、Clarent-Gateway、DHCP-Client、DHCP-Server、DNS、Entrust、FTP、Finger、GRE、Gopher、HBCI、HTTP、HTTPS、IDENT、IGMP、IMAP、IPsec、IRC、Intel-Video-Phone、Kerberos-V4、Kerberos-V5、L2TP、LDAP、LDAP-SSL、Lotus-Notes、MS-SQL-Monitor、MS-SQL-Server、MS-Win-Media、NFS、NNTP、NTP、NetMeeting、OSPF、pcAnywhere、POP2、POP3、PPTP、Ping、RADIUS、RADIUS-Accounting、RADIUS-Acct-RFC、RDP、RIP、RSH、RealPlayerG2、Rlogin、SMB、SMTP、SNMP、SNMP-Trap、SQL*Net、SQL-Server、SSH、SSL-VPN、SecurIS、SunRPC、Syslog、TACACS、TACACS+、TCP、TCP-UDP、Telnet、Timbuktu、Time、Traceroute、UDP、UUCP、WAIS、WG-Auth、WG-Firebox-Mgmt、WG-Logging、WG-Mgmt-Server、WG-SmallOffice-Mgmt、WG-WebBlocker、WHOIS、WinFrame、X11 |
ポリシーを新規作成した場合、続いてポリシーのプロパティダイアログがポップアップするので、ここで基本的な送信元や送信先などを指定すればよい。送信元や宛先には、以下に列挙したものを複数指定できる。
- Fireboxの各ポート
- 単一IPアドレス
- IPアドレス範囲
- ネットワークアドレス
- ホスト名
- 認証されたユーザー名
- VPNトンネル
よく利用するものについては、エイリアスとして登録しておくことで、送信元や送信先にエリアスを利用することも可能だ。
もちろん、ポリシーテンプレート自体も自分で作成できる。たとえば、MySQLのポリシーや、SSH、HTTP、HTTPSの3つのプロトコルをワンセットにしたポリシーなど、うまく作っておけば、ポリシーを集約し、手間も軽減でき、間違いも防げるだろう。
また、Firewareには、ポリシーのほかというか、付帯機能としてプロキシというものがある。プロキシが有効になっているポリシーをプロキシポリシーと呼ぶ。そして、プロキシではアプリケーション層のプロトコルのデータによってフィルタリングできる。
フィルタがサポートしているプロトコルは、DNS、FTP、H323、HTTP、HTTPS、POP3、SIP、SMTP、TCP、UDP、TFTPとなっている。たとえばHTTPであれば、HEAD、GETリクエストは通すが、それ以外のPUTやWebDAVのリクエストのパケットは通さないとか、指定したクッキーが含まれるレスポンスは通さないといったことが可能となっている。
|
|---|
| HTTPプロキシを使えば、リクエストを元にしたフィルタリングも簡単に設定できる |
なかでもTCP/UDPプロキシは強力で、HTTP、HTTPS、SIP、FTPのプロキシ設定を行なえるほか、メッセンジャー(AIM、ICQ、IRC、MSN、Yahoo!)やP2P(Bittorrent、Ed2k、Gnutella、Kazaa、Napster)のアプリケーションを検出し切断することが可能だ。
さて、Firewareでは、ポリシーやプロキシポリシーを追加、変更、削除した場合、それはまだWSMのプロキシマネージャ上の話となっている。プロキシマネージャ上の内容を、Fireboxに反映させるには、「ファイル」-「保存」-「Fireboxへ」を選択する。この際、ポリシーの状態をWSMを実行しているマシン上にも、XML形式で保存される。このファイルの履歴を取っておけば、すぐに前の設定状態に戻すことも可能だ。このあたりもWUIではなく専用GUIアプリの利点だろう。
(次ページ、高可用性を実現しよう)
この連載の記事
-
第3回
デジタル
あれこれ欲張る管理者、WGのエンジニアと語る -
第1回
デジタル
下心を隠す管理者、INTEROP TOKYOで赤箱と出会う - この連載の一覧へ
