組織のセキュリティ ポリシーとは、コンピュータ ネットワークとそこを通過する情報とをどのように保護するのかを定義するセットです。Firebox は、明示的に許可されていないパケットをすべて拒否します。Firebox 構成ファイルに ポリシー を追加するときは、一連のルールを追加することによって、パケットの発信元・送信先、またはパケットに使用される TCP/IP ポートやプロトコルなどの要因に基づいてトラフィックを許可または拒否するように Firebox に指図します。
ポリシーの使い方の例として、ある会社のネットワーク管理者が、Firebox で保護された Web サーバーにリモート ログインできるようにするケースを考えてみましょう。ネットワーク管理者が、リモート デスクトップ接続で Web サーバーを管理します。ネットワーク管理者は同時に、他のネットワーク ユーザーが リモート デスクトップを使用しないようにします。このセットアップを作成するには、ネットワーク管理者は、自身のデスクトップ コンピュータの IP アドレスから Web サーバーの IP アドレスへの接続に限って RDP 接続を許可するポリシーを追加します。
ポリシーによって、パケットの処理方法について Firebox に指示を与えることもできます。たとえば、トラフィックに適用するログ記録と通知の設定を定義でき、また発信元 IP アドレスとネットワーク トラフィックのポートを変更するためにNAT (ネットワーク アドレス変換) を使用できます。
パケット フィルタおよびプロキシ ポリシー
Firebox は、パケット フィルタ と プロキシ という 2 つのポリシー カテゴリを使用して、ネットワーク トラフィックをフィルタします。パケット フィルタは、各パケットの IP および TCP/UDP ヘッダを検査します。パケットのヘッダー情報が正当ならば、Firebox はそのパケットを許可します。正当でなかったパケットはドロップ (除去) されます。
接続の安全を保証するために、プロキシはヘッダの情報と各パケットのコンテンツ両方を検査します。これは、コンテンツの検査 とも言います。パケットのヘッダー情報が正当であり、パケットの内容が脅威とみなされなければ、Firebox はそのパケットを許可します。正当でなかったパケットはドロップ (除去) されます。
Firebox にポリシーを追加する
Firebox には、事前構成済みのパケット フィルタとプロキシが数多く用意されており、それらを構成に追加することができます。たとえば、すべての Telnet トラフィック用のパケット フィルタが必要な場合は、ネットワーク構成に対して変更できる定義済みの Telnet ポリシーを追加します。また、ポートやプロトコルなどのパラメータを設定できるカスタム ポリシーを作成することもできます。
Quick Setup Wizard を使用して Firebox を構成すると、ウィザードは送信 (TCP-UDP)、FTP、ping および最大 2 つの WatchGuard の管理ポリシーなどのいくつかのパケット フィルタを追加します。多数のソフトウェア アプリケーションやネットワーク トラフィックを Firebox で調べたい場合は、以下を行う必要があります:
- 必要なトラフィックが通過できるようなポリシーを Firebox で構成する
- 承認されるホストとプロパティをポリシーごとに設定する
- ネットワークを保護するための要件とユーザーが外部リソースにアクセスするための要件とのバランスをとる
Firebox の構成時に、発信アクセスの制限を設定することをお勧めします。
すべてのドキュメントでは、パケット フィルタとプロキシを合わせてポリシーと呼びます。特に記載がない限り、ポリシーに関する情報はプロキシとパケット フィルタの両方を対象としています。