はじめに
初めてファイアウォールを構築する新人NWエンジニア向けに簡単ですが 構築の流れや考慮するポイントを説明しようと思います。
ファイアウォールの構築として Fortinet社のファイアウォールであるFortiGateで説明しようと思います。FortiGateは、UTM機能が付属しているBundle版と 付属していないNon-Bundle版があります。
それぞれ型番が違いますので注意してください。
FortiGateで考慮するポイント
FortiGateを考慮する際のポイントは以下となります。
(すべてを網羅してはいませんので注意してください)
<基本機能> → ライセンスに関係なく使用できる機能
・ファイアウォール機能
・ISDB機能
・スタティックルーティング機能
・ダイナミックルーティング機能
・DoSポリシー
・リンクアグリゲーション機能
・VLAN機能
・管理機能(SSH,HTTPS,SNMP,SYSLOG,NTPなど)
<HA機能> → ライセンスに関係なく使用できる機能
・冗長構成の有無(HA機能)
・冗長化の方式(Act/Act、Act/Stdby)
・フェイルバックの方式(オーバーライドの有無)
・フェイルオーバーのトリガーインタフェース(どこのI/FがDownしたら切替るか?)
<UTM機能> → ライセンスが必要な機能
・アンチウイルス機能
・IPS機能
・WEBフィルタ機能
・Eメールフィルタ機能
・DNSフィルタ機能
・C&C通信ブロック機能
どの機能を使用するかは お客様の要望により異なりますので案件に合わせて選ぶようにしてください。
ファイアウォールポリシーの決め方
次にファイアウォールで苦戦するファイアウォールポリシーの決め方です。
既に顧客がファイアウォールを使用しており、そのルールをそのまま使用するであれば 特に考慮する必要はありませんが、1から決めたいとなったときに ファイアウォールのルールを決める必要があります。その際に私が行っているやり方や考え方をお伝えします。
<考え方の軸>
ファイアウォールのルールを決める際に必要な最低限の通信だけを許可する
ファイアウォールの存在自体が 必要最低限の通信を許可する為のものと認識しています。
そのためホワイトリスト形式でファイアウォール通信を決めることがほとんどです。
顧客に業務上必要な通信を洗い出ししていただきそれを反映していきます。
ヒアリングする際には、設定する項目ベースに聞いていきます。
<ヒアリングする項目>
・送信元IPアドレス(誰が通信したいのか?)
・宛先IPアドレス(どこへ通信したいのか?)
・スケジュール(いつ通信したいのか?)
・サービス(何が通信したいのか?例:httpsなど)
・NAT(IPアドレス変換の有無)
・アクション(許可か拒否で設定する。ホワイトリストの場合は許可で設定)
・UTM機能がある場合は これにUTM機能の有無が入ってきます。
業務通信で何が必要かまったくわからないという顧客もいます。
その場合の手法としては、FortiGateなどをネットワークの間に挟みこみログから必要な通信を洗い出すということもあります。
どちらにしても最後は 顧客に必要か不必要かの判断はしていただくことになります。
必要な通信をブロックしてしまうと業務が停止する恐れがありますので しっかりとその辺りも顧客へ伝えておくとトラブルを避けることができます。
まとめ
どうでしたでしょうか?いきなり新人NWエンジニアの方が任されることは少ないと思います。
大規模な環境では 考慮する事項や連携機能などを使用するため 実際はもっと多くの考慮が必要となります。まずは 前項で記述したことをマスターしていきましょう。
任されたときには このページを参考にビシッと案件ができようにしていきましょう!
コメント