セキュリティーの基本の考えは,
●内部から外部へは,すべてのサービスを利用可能
●外部から内部へは,許可するサービス以外はすべて遮断
●許可するサービスは,WWW,DNS,Mail,FTP
このあたりの設定は,使用しているルータに合わせて設定が必要です。私の場合はNetGenesis4というIPルータを使用している(現在NetgenesisOPT90に移行)ので,設定が少々面倒でした。基本的には,許可するサービス以外はすべて禁止って方向で設定しています。少し詳しく書くと許可したサービスの基本は以下の通りです。(これじゃ,甘いのかもしれないですが。これはまずいよ!ってところがあったら教えてください。)
| 外部から内部へ(許可したもの これ以外は遮断) | NetGenesisOPT90のファイアウォール構成 |
| サービス | ポート | プロトコル |  |
| FTP | 20/21 | tcp |
| WWW | 80 | tcp |
| WWW | 443 | tcp |
| Mail | 25 | tcp |
| Mail | 110 | tcp |
| DNS | 53 | tcp |
| DNS | 53 | udp |
| ntp | 123 | udp |
| 554 | tcp |
| 22 | tcp |
| 1024/65535 | any |
| 内部から外部へ(すべて許可) |
|
| any |
上記ポートを空けています。さらに,なりすまし対策として
クラスA(10.0.0.0/8),クラスB(172.16.0.0/12),クラスC(192.168.0.0/16)のLANからWAN側,およびWANからLAN側への通信を遮断しています。(2002/8/31追記)
※123:tcpはタイムサーバ接続のため許可。554:tcpはなぜかリアルメディアのストリーミング再生ができなかったので許可。22:tcpは外部からのssh接続のため許可。(200211/30加筆) |
