ファイアウォール 管理ガイド R75.40VS - Check Point

アクセス 制 御 ルールの 例
このテーブルでは、SmartDashboard の[Firewall]タブで 表 示 される、 典 型 的 なアクセス 制 御 ルールを 表 します。こ
のルールでは、 支 社 から 任 意 の 宛 先 への HTTP 接 続 を 許 可 しログを 取 得 します。
Source Destination VPN Service Action TRACK
Branch-Office-gw Any Any Traffic http accept log
アクセス 制 御 に 関 する 特 別 な 考 慮 事 項
このセクションでは、アクセス 制 御 のシナリオについて 説 明 します。
簡 潔 性
効 果 的 なファイアウォール 保 護 を 実 現 するための 鍵 は 簡 潔 なルール・ベースです。 組 織 のセキュリティにとって 最 も
危 険 なことの 1 つは、 設 定 ミスです。たとえば、 誤 って 無 制 限 にメッセージング・プロトコルを 許 可 していれば、ユーザ
は 偽 の 断 片 化 されたパケットを 使 用 してファイアウォールをすり 抜 けようとするかもしれません。ルール・ベースを 簡
潔 にすることにより、ルールの 管 理 と 維 持 を 簡 単 に 行 うことができます。ルールが 増 えれば 増 えるほど 間 違 いを 起 こ
す 可 能 性 が 高 まります。
基 本 ルール
ルールを 作 成 する 場 合 は、 必 要 なトラフィックのみを 許 可 するようにしてください。ファイアウォールで 保 護 されている
側 と 保 護 されていない 側 の 両 方 から 発 信 されてファイアウォールを 通 過 するトラフィックを 考 慮 する 必 要 があります。
すべてのルール・ベースに 次 の 基 本 アクセス 制 御 ルールを 含 めることをお 勧 めします。
Security Gateway への 直 接 アクセスを 防 止 するためのステルス・ルール。
前 のルールで 許 可 されていないトラフィックをすべて 破 棄 するクリーンアップ・ルール。これを 行 う 暗 黙 ルールが
ありますが、クリーンアップ・ルールによりそのようなアクセスの 試 みをログに 記 録 できます。
ルール・ベースの 基 本 原 則 は、「 明 示 的 に 許 可 されないすべてのアクションは 禁 止 する」であることをあらためて 認
識 する 必 要 があります。
ルールの 順 序
ルールの 順 序 は、 効 果 的 なルール・ベースの 重 要 な 要 素 です。 同 じルールでも、 順 序 を 変 更 するとファイアウォール
の 効 果 が 大 幅 に 変 わります。 最 も 具 体 的 なルールを 最 初 に 置 き、より 一 般 的 なルールを 最 後 に 置 くことが 適 切 です。
この 順 序 により、 具 体 的 なルールの 前 に 一 般 的 なルールが 適 用 されるのを 防 ぎ、ファイアウォールを 設 定 ミスから
保 護 できます。
トポロジに 関 する 考 慮 事 項 : DMZ
インターネットを 使 用 して 外 部 からアクセスできるサーバがある 場 合 は、 非 武 装 地 帯 (DMZ)を 作 成 する 必 要 があり
ます。DMZ は、インターネットなどの 信 頼 されていない 発 信 元 からアクセス 可 能 なすべてのサーバを 隔 離 することに
よって、 仮 にこれらのサーバに 侵 入 されたとしても、 侵 入 者 によるアクセスを 外 部 からアクセス 可 能 なサーバのみに
制 限 します。DMZ 内 のサーバは 任 意 のネットワークからアクセスできるため、 外 部 からアクセス 可 能 なサーバはす
べて DMZ に 設 置 する 必 要 があります。DMZ ゾーン 内 のサーバは、できる 限 り 安 全 に 保 護 する 必 要 があります。
UserAuthority などの 特 定 のアプリケーションを 除 き、DMZ から 内 部 ネットワークへのアクセスを 許 可 しないでくださ
い。
X11 サービス
X11(X ウィンドウ・システム・バージョン 11)グラフィックス 表 示 システムは、UNIX 環 境 におけるグラフィックス・シス
テムの 標 準 です。X11 を 有 効 にするには、X11 サービスを 許 可 するルールを 作 成 する 必 要 があります。[Source]ま
12 | ファイアウォール 管 理 ガイド R75.40VS