ページの先頭

  • 印刷
  • 目次へ戻る
  • ウィンドウを閉じる

オンラインマニュアル目次 > 
システム管理メニュー > 
マネージドルータ > 
ルータ設定 > 
ファイアウォール(IPv4)

ファイアウォール(IPv4)

概要

マネージドルータでファイアウォール設定を行う事により、特定の通信を破棄したり、特定の通信のみ許可をする事ができます。
なお、ファイアウォールルールはプロトコル、送信元IPアドレス、あて先IPアドレス、送信元ポート、あて先ポートをトリガーにして 破棄もしくは許可の制御を行います。
またファイアウォールルールはVLAN毎に設定が可能です。
ファイアウォール、NAT、ルーティングの適用順は『NAT設定』を参照ください。

↑ページトップへ

画面の説明

ファイアウォール(IPv4)

フィルター種別

ファイアウォールルールを設定する上で、制御したい通信の方向を以下から定義します。
  • LAN→ルータ : LANを送信元とし、ルータのLANポートに入力される通信に対してフィルタを動作させます。
    •       【例】
    社内LANから拠点向けの通信制御、社内LANからインターネット向けの通信制御、同一拠点内のVLAN間の通信制御

  • ルータ→LAN : LANを宛先とし、ルータのLANポートから出力される通信に対してフィルタを動作させます。
    •       【例】
    他拠点から当該拠点LAN向けの通信制御、インターネットから当該拠点LAN向けの通信制御、同一拠点内のVLAN間の通信制御


ファイアウォール種別

各VLANの状況

VLANごとのデフォルト動作(詳細は下記「デフォルト動作」を参照)を表示します。
またデフォルト動作の右側にファイアウォールルールの設定数が表示されます。

【例】
許可する[2]  : デフォルト動作が「許可する」でファイアウォールルールが「2」つ設定されている。

現在設定しているVLAN

ファイアウォールルールを設定するVLANを指定します。
当サービスではVLANごとにファイアウォールルールを作成することが可能です。

設定を読み込むVLAN

他のVLANで設定したルールや、他の拠点で設定したルールと同様の内容を読み込みます。
複数の拠点やVLANで同様のファイアウォールルールを作成する場合に入力の手間を省きます。

デフォルト動作

設定をした全てのファイアウォールルールに合致しなかった場合の動作を指定します。
ファイアウォールルールは以下のように動作します。

ファイアウォール動作

コントロール

それぞれのアイコンをクリックすると以下のような動作を行います。

コントロール

プロトコル

すべて、TCP、UDP、ICMP、ESP、TCP(EST)から選択を行います。
TCP(EST)を選択した場合はTCPの戻りパケットに対しての制御となります。

アクション

ルールに合致した場合の処理を「許可する」、「破棄する」のどちらかから指定します。

(IPグループ)送信元ネットワークアドレス/マスク・ポート

  • 「IP指定」か「IPグループ」を選択します。
  • 「IPグループ」の場合は、「IPアドレスグループ名」を選択します。
    •   IPアドレスグループの設定は『IPアドレスグループ』を参照ください。
  • 「IP指定」の場合は、あて先IPアドレス及び、サブネットマスク(プレフィックス長)を入力し、右隣のBOXにあて先ポート番号を入力します。
  • 送信元IPアドレスで「すべて」を指定したい場合は「0.0.0.0/0」もしくは「any」と入力してください。
  • ポートで「すべて」を指定したい場合は「any」と入力してください。
    •   ポートの範囲を指定したい場合は「135-137」のようにハイフンを間に挿入してください。
      連続しない複数のポートを指定したい場合は「25,53,110」のようにカンマで区切り(最大10個まで)入力できます。
      なお、ポートの範囲指定とカンマ区切りは、一つの入力欄に共存できない為、必要に応じてファイアウォールのエントリーを分けます。

    プレフィックス長の代表的な入力例は以下の通りです。

    CIDR

    (IPグループ)あて先ネットワークアドレス/マスク・ポート

  • 「IP指定」か「IPグループ」を選択します。
  • 「IPグループ」の場合は、「IPアドレスグループ名」を選択します。
    •   IPアドレスグループの設定は『IPアドレスグループ』を参照ください。
  • 「IP指定」の場合は、あて先IPアドレス及び、サブネットマスク(プレフィックス長)を入力し、右隣のBOXにあて先ポート番号を入力します。
  • あて先IPアドレスで「すべて」を指定したい場合は「0.0.0.0/0」もしくは「any」と入力してください。
  • ポートで「すべて」を指定したい場合は「any」と入力してください。
    •   ポートの範囲を指定したい場合は「135-137」のようにハイフンを間に挿入してください。
      連続しない複数のポートを指定したい場合は「25,53,110」のようにカンマで区切り(最大10個まで)入力できます。
      なお、ポートの範囲指定とカンマ区切りは、一つの入力欄に共存できない為、必要に応じてファイアウォールのエントリーを分けます。

    アクション

    ルールに合致した場合の処理を「許可する」、「破棄する」のどちらかから指定します。

    コメント

    ルールの名前など任意のコメントを入力できます。
    当項目は入力必須ではありません。

    ↑ページトップへ

    操作説明

    ファイアウォール(IPv4)の設定例

    社内PCから特定のメールサーバのみメール送受信を許可する。

    <構成の詳細>
    • ネットワーク構成は以下構成図となります。
    • マネージドルータに接続されたLAN内(192.168.0.0/24)のPCからメールサーバA(211.9.34.97)のみに接続したい。
    • 当メールサーバの送受信はPOP(TCP110),SMTP(TCP25)で行うものとする。
    • その他メールサーバには同様のプロトコルにて通信させないようにしたい。

    ファイアウォール構成例
    <設定手順>
    • 「フィルター種別」で「LAN→ルータ」を選択します。
    • 「現在設定しているVLAN」で「VLAN1」を選択します。
    • 「デフォルト動作」で「許可する」を選択します。
    • 以下図のようにルールを作成します。
      • ※ 新規ルールを追加する場合はプラスアイコンをクリックします。
    • 「設定」ボタンをクリックし設定を確定します。

    ファイアウォール構成例

    ↑ページトップへ

    • 印刷
    • 目次へ戻る
    • ウィンドウを閉じる