9.2. FIC-FWを設定する¶
FIC-Routerに導入したFIC-FWには、Routing Group間でパケットを転送するか否かを、通信の方向別に、セッション(アプリケーション/プロトコル/IPアドレスの組み合わせ)に対するルールとして設定できます(デフォルトではルールがないのでパケットは転送されません)。 具体的には、 「FW設定」 画面の 「ルール設定」 メニューにおいて、送信元アドレス、宛先アドレス、アプリケーションを組み合わせたフィルタとして設定します。 このとき、送信元アドレスと宛先アドレスは定義済みの「アドレスセット」から、アプリケーションは定義済みの「アプリケーションセット」から選択します。
- アドレスセット
- フィルタ対象の指定に使う送信元、または宛先IPアドレスの組み合わせ
- アプリケーションセット
- フィルタ対象の指定に使うアプリケーションの組み合わせ。TCP、またはUDPのポート番号により独自の「カスタムアプリケーション」も追加可能
以降では、「ルール設定」の手順、「アドレスセット」および「アプリケーションセット」の作成手順、「カスタムアプリケーション」の追加手順を概説します。 そのために、まず下記の手順で 「FW設定」 画面を開いてください。
「エリアビュー」 画面左側のメニューから [ルータ] を選んで表示される 「ルータメニュー」 の [アドオン設定] ボタンを押下します。
「アドオン設定ガイダンス」 で [次へ] ボタンを押下すると、 「アドオン設定・変更」 画面が表示されるので、「FW」の欄にある [設定] ボタンを押下します。
図 9.2.1 アドオン設定・変更
「FW設定変更ガイダンス」 の [次へ] ボタンを押下して表示される 「FW設定」 画面に従って、各種の設定を実行します。
9.2.1. ルール設定の手順¶
「FW設定」 画面にて [ルール設定] を選択し、 [編集] ボタンを押下して、 「FW設定変更」 画面を表示します。
これから設定するルールを、どのRouting GroupからどのRouting Groupへの転送に適用するかを選択します。 [送信元グループ名] および [あて先グループ名] を選択して [ルールグループ追加] ボタンを押下してください。
図 9.2.2 FW設定変更
「FW設定変更(ルール設定)」 ダイアログが表示されるので、フィルタ対象とする送信元および宛先のアドレスとアプリケーションを、それぞれ定義済みの「アドレスセット」および「アプリケーションセット」から選択します。さらに、これらにより決まるフィルタに合致した際のアクションを選択します。なお、各Routing Group間にはデフォルトで「default-deny」(変更・削除できません)という名前のルールがプリインストールされています。
表 9.2.1 「FW設定変更(ルール設定)」ダイアログ入力項目一覧¶ 入力項目 説明 設定後変更 グループ 選択したRouting Group名 × FWルール名 ルールの識別名を20文字以内の半角英数および「 -_」の記号で指定〇 送信元アドレスセット 作成したアドレスセット名、または「any」 〇 あて先アドレスセット 作成したアドレスセット名、または「any」 〇 アプリケーション デフォルトで設定されているアプリケーション、作成したアプリケーションセット、任意に作成したカスタムアプリケーション、または「any」 〇 アクション 「permit」、「deny」(デフォルト)、「deny(ログ有)」から選択。「deny(ログ有)」を選択するとフィルタリングログを取得可能 〇 注釈
ルール設定の優先度は設定画面の最上位から適用されます。「default-deny」以外の複数のルール設定があり、優先度を変更したい場合は、ルール列の左にある二本線のアイコンをドラッグすることで優先度を変更してください。
「FW設定変更」 画面にて内容を [確認] し、 [変更] ボタンを押下してください。
「FW設定変更受付完了」 画面にて [OK] ボタンを押下してください。
「エリアビュー」 の画面左側のサイドメニューから [履歴] ボタンを押下し、 申し込み履歴画面 でステータスが 「Completed」 となっていることを確認してください。
注釈
- ルール運用可能なRouting Group数の上限は、1FIC-FWあたり4個です。
- 保存できる通信ログ量の上限は、1FIC-FWあたり9GBまたは93日間です。
- 1対のRouting Group間に定義可能な合算ルール数は、1Routing Groupあたり50個です。
- 定義可能な総ルール数は、1FIC-FWあたり300個です。
9.2.2. カスタムアプリケーションの追加手順¶
「FW設定」 画面にて [カスタムアプリケーション] を選択し、 [編集] ボタンを押下して、 「FW設定変更」 画面を表示します。
[アプリケーション追加] ボタンを押下して表示される 「FW設定変更(カスタムアプリケーション)」 ダイアログにて、フィルタ対象とするTCP、またはUDPのポート番号を「カスタムアプリケーション」として名前を付けて定義し、 [追加] を押下します。
表 9.2.2 「FW設定変更(カスタムアプリケーション)」ダイアログ入力項目一覧¶ 入力項目 説明 設定後変更 アプリケーション名 カスタムアプリケーションの名前を64文字以内の半角英数および「 &()-_」の記号で指定〇 プロトコル 「tcp」、「udp」を選択 〇 送信先ポート カスタムアプリケーションを利用する送信先ポート番号を指定。ハイフン区切りで範囲指定可能 〇 
図 9.2.3 アプリケーション追加
「FW設定変更」 画面にて内容を [確認] し、 [変更] ボタンを押下してください。
「FW設定変更受付完了」 画面にて [OK] ボタンを押下してください。
「エリアビュー」 の画面左側のサイドメニューから [履歴] ボタンを押下し、 申し込み履歴画面 でステータスが 「Completed」 となっていることを確認してください。
9.2.3. アプリケーションセットの作成手順¶
「FW設定」 画面にて [アプリケーションセット] を選択し、 [編集] ボタンを押下して、 「FW設定変更」 画面を表示します。
[アプリケーションセット追加] ボタンを押下して表示される 「FW設定変更(アプリケーションセット)」 ダイアログにて、新しく作成するアプリケーションセットの名前と、あらかじめ定義済みのアプリケーション、または独自に定義したカスタムアプリケーションを組み合わせて指定し、 [追加] を押下します。
表 9.2.3 「FW設定変更(アプリケーションセット)」ダイアログ入力項目一覧¶ 入力項目 説明 設定後変更 アプリケーションセット名 アプリケーションの名前を64文字以内の半角英数および「 &()-_」の記号で指定〇 対象アプリケーション デフォルトで設定されているアプリケーション、または作成したカスタムアプリケーションから選択 〇 
図 9.2.4 アプリケーションセット追加
「FW設定変更」 画面にて内容を [確認] し、 [変更] ボタンを押下してください。
「FW設定変更受付完了」 画面にて [OK] ボタンを押下してください。
「エリアビュー」 の画面左側のサイドメニューから [履歴] ボタンを押下し、 申し込み履歴画面 でステータスが 「Completed」 となっていることを確認してください。
9.2.4. アドレスセットの作成手順¶
「FW設定」 画面にて [アドレスセット] を選択し、アドレスセットを設定するRouting Groupを1つ選択してから [編集] ボタンを押下して、 「FW設定変更」 画面を表示します。
[アドレスセット追加] ボタンを押下して表示される 「FW設定変更(アドレスセット)」 ダイアログにて、新しく作成するアドレスセットの名前とサブネットを指定したIPアドレス(10個まで指定可能)を入力し、 [追加] ボタンを押下します。
表 9.2.4 「FW設定変更(アドレスセット)」ダイアログ入力項目一覧¶ 入力項目 説明 設定後変更 グループ 選択したRouting Group名 × アドレスセット名 アドレスセットの名前を64文字以内の半角英数および「 &()-_」の記号で指定〇 IPアドレス サブネットを指定したIPアドレスを10個まで指定可能 〇 
図 9.2.5 アドレスセット追加
「FW設定変更」 画面にて内容を [確認] し、 [変更] ボタンを押下してください。
「FW設定変更受付完了」 画面にて [OK] ボタンを押下してください。
「エリアビュー」 の画面左側のサイドメニューから [履歴] ボタンを押下し、 申し込み履歴画面 でステータスが 「Completed」 となっていることを確認してください。
注釈
- 定義可能なアドレスセット数の上限は、1Routing Groupあたり4セットです。
- アドレスセットに定義可能なアドレス数の上限は、1アドレスセットあたり10個です。
- 定義可能なアドレス数の上限は、1FIC-FWあたり160個です。
- 定義可能なグローバルアドレスセット数の上限は、1NATあたり8セットです。
- グローバルアドレスセットに定義可能なグローバルIPアドレス数の上限は、1アドレスセットあたり5個です。
注釈
- 複数のアドレスセットを一括で設定する場合は、再度[アドレスセット追加]ボタンを押下し、「FW設定変更(アドレスセット)」画面にてアドレスセットを設定してください。