ファイアウォール

VDOM、アゲイン!【2021年4月6日】

こんにちは!
今回の記事はかとりゅうがお送りします。

現在、N社のネットワーク構築案件で使われるファイアウォールについて技術を検証しています。
今回の記事はVDOMについて.Part2になります。

前回VDOMは1台のFortigate内に仮想のFortigateを複数作成できるといいましたが
実際に複数作成したところでどういった用途に使用できるのかはあまり理解ができていないと
思います。

VDOMは複数作成された仮想Fortigate対して個別にポリシーを作成し適応させる事ができます。
これによりVDOM毎に通信を通したい範囲を制限することができます。

例えば一つのFortigateで社内用、外部公開用などにVDOMで複数のファイアウォールを作成することで機器のリソースを効率よく使用でき、運用コストの削減につながります。

画像のようにVDOMを用いて使用用途ごとにFortigateを作成し運用することができます。
引用元:https://www.networld.co.jp/product/fortinet/technical_guide/vdom/

本日の記事は以上になります。
次回の記事もお楽しみに!

少しは理解が深まると嬉しいポリシー解説【2021年3月23日】

こんにちは!
今回の記事はかとりゅうがお送りします。

現在、N社のネットワーク構築案件で使われるファイアウォールについて技術を検証しています。
今回の記事はFortigateのポリシーについてという内容になります。

ポリシーとは方針の事で、その物事に対するルールのようなものです。
例えばプライバシーポリシーですが、これは個人情報をどう扱うかという方針やルールであり
そのルールを明文化したものをさすこともあります。

Fortogateにおけるポリシーとは通信の可否の制御する設定の事です。
標準ですべての通信を拒否する設定(暗黙のdeny)がされており、基本的には許可したい通信についての通信許可設定を追加していくことになります。
ポリシー設定は、主に送信元、送信先、サービスポートを指定することで設定します。

標準の設定だとこのように拒否されます。

Aという端末とBという端末との間で FortiGate を挟んで双方向通信を実現したい場合、[AからBへの通信] と [BからAへの通信] の双方向の通信が許可されている必要があります。
FortiGate の一つのポリシーで設定できるのは片方向の通信についてのみのため、双方向通信を実現するためには 2 つのポリシー設定が必要となります。
ここで、FortiGate などのファイアウォールにはステートフル・インスペクションと呼ばれる機能があります。
ステートフル・インスペクションを有効にした場合、ある通信を許可するポリシー設定に対して、そのポリシーに該当する通信に対応する戻りの通信は自動で許可されます。
これにより一つのポリシーで双方向通信が可能になります。
また、ステートフル・インスペクションがあることによりセキュリティ面でのメリットがあります。
引用元:https://nwengblog.com/fortigate-policy/#toc2

大体の企業では、社内LAN側からインターネット側への必要な通信のみ許可しておいて、インターネット側から 社内LAN側への通信は原則として拒否するという設定がされています。
これはつまり、原則として社内LAN 側を起点とする通信のみ許可されるということになります。

今回の記事は以上になります。
次回の記事は実際にポリシーを作成して通信を行う内容になります。
次回の記事もお楽しみに!

ファイアウォールって何ですか?【2021年3月11日】

こんにちは!
今回の記事はかとりゅうがお送りいたします。

N社のネットワーク構築案件で使われるファイアウォールについて技術を検証しています。
ファイアウォールについては名前を聞いたことのある人が多いでしょうが
実際何をしているのかいまいちピンとこない人もいると思います!
そこで今回はファイアウォールについて説明をしていきたいと思います!

  ファイアウォールとは、ネットワークの通信において、その通信をさせるかどうかを判断し許可するまたは拒否する仕組みです。
しかし、その通信許可するかの判断は、通信の送信元とあて先の情報を見て決めており、通信の内容は見ていません。
言ってしまえば外部からの不正なアクセスから私たちのパソコンを守ってくれる防護壁のようなものです。

引用元:総務省
URL
https://www.soumu.go.jp/main_sosiki/joho_tsusin/security/basic/structure/01.html

現在のファイアウォールには大きく分けて二種類あります。
家庭内などで利用する単体のコンピュータの防御を目的としたパーソナルファイアウォール
企業や家庭のネットワーク全体を防御するファイアウォールです。
パーソナルファイアウォールはコンピュータ自体に導入するソフトウェアになっており、
そのコンピュータに対してインターネットからの不正なアクセスやウイルスの侵入を防ぐことができます。

企業などのネットワークに使用するファイアウォールはインターネットと社内LANの間に設置する機器で、基本的な機能は外部からの不正なアクセスを社内のネットワークに侵入させないといった機能があります。
具体的には外部の不正なパケットを遮断したり、許可したパケットのみを通過させることができます。
機器の例としてはFortinet製のFortigateなどがあります。

社内検証で用いているFortigate 200B

上記で話した通りファイアウォールは普段私たちが利用しているインターネットでの
様々な悪意から守ってくれる非常に重要な機能です。
しかしファイアウォールを設置したとしても完全なセキュリティ対策になるわけではありません。
あくまで不正アクセスなどに対する情報セキュリティ対策の一つとして考えることが大事です。

本日の記事は以上となります。
次回の記事はFortigateのGUI,CLIでの操作について掲載したいと思います。
次回もお楽しみに!