ファイアウォールサービスでは、1つのネットワークにつきネットワークポリシーと例外ポリシーの2種類のポリシーを設定することができます。 ポリシーごとにoutbound(利用支線から学外へ)と inbound(学外から利用支線へ)の設定をあらかじめ決められたサービスの組から選択することが可能です。
ファイアーウォールサービスとスクリーニングサービスは排他利用です。ファイアーウォールサービス利用開始とともにスクリーニングサービスは無効となります。
ファイアウォールサービスの特徴は、以下のとおりです。
- サービスグループ単位での通信許可が可能ウェブ(HTTP)やメール(POP3, SMTP)などサービスグループ単位で通過するサービスを指定できます。利用するサービスグループのみを開放することで不正侵入の可能性が減少します。
- 入(inbound)と出(outbound)のトラフィックを個別に指定可能、学外のWeb閲覧のみを許可し、学外から支線の端末へのアクセスは拒否するといった設定が可能です。その場合は、outboundのHTTPのみを許可、inboundには全遮断を選択することで実現できます。他のサービスについても同様です。
- 建物スクリーニングにより学内からの通信も制限可能建物スクリーニングの設定では、学内の他の支線ネットワークとのアクセスを「全遮断」、「内側からのTCPのみ」、「全通過」のいずれかから選択することができます。
スクリーニングサービスとの違い
対外線スクリーニングではIPアドレスごとにスクリーニングのON/OFFを指定できましたが、ファイアウォールサービスではネットワーク単位で設定を行います。まず、ネットワーク全体のポリシーを設定し、必要ならば次にそのポリシーの例外となるホストまたはアドレス範囲を指定します。
申請・変更方法
申請は設定をWebページから入力し,その後メールにて設定内容の確認を行います.処理の流れは以下の通りになります.
- 連絡担当者が設定ページから内容を入力する
- 連絡担当者に設定内容がメールで送信される
- 連絡担当者が内容を確認し、NOCに返送する
- NOCのスタッフが内容を確認する
- 問題がなければ当日もしくは翌営業日に変更が機器に反映される
※FWの負荷状況等により反映が遅れる場合があります
ポリシー設定(ネットワークポリシーと例外ポリシー)
設定するネットワークを決定した後、そのネットワークのアクセスポリシーを指定します。
1つのネットワークにつきネットワークポリシーと例外ポリシーの2種類のポリシーを設定することができます。
例外ポリシーは、ネットワーク全体のポリシーとは別に一部の端末やサーバ用に異なるポリシーを適用したい場合などに利用できます。例えば、支線内の一般の端末用のネットワークポリシーには、外部のサービスにアクセスはできるが外部からはアクセスできないように設定し,外部への公開用サーバの例外ポリシーには、Webアクセスなどの特定のサービスのみを外部からアクセスできるように設定します。
FWのアプリケーション解析による遮断ポリシーのパケット通過について
2022年よりFWがアプリケーション解析に対応したため、ポリシーの設定によってはアプリケーションの解析が完了するまでは遮断ポリシーが適用されず、通信の一部がFWを通過する場合があります。
具体的には、例外ポリシーの許可サービスが全体ポリシーよりも制限されている場合や例外ポリシーの許可サービスが全体ポリシーの許可サービスに含まれない場合に、例外ホストの通信において遮断対象パケットのファイアウォール通過が発生することがあります。
例えば、例外ホストにHTTPのみを許可し、全体にはSSHとHTTPを許可した場合、例外ホストのSSHの通信はアプリケーション解析が完了するまでの数パケットがFWを通過し、SSHサーバと瞬間的にTCPコネクションが成立する場合があります。
ファイアウォール設定
ファイアウォール設定はポリシーごとにoutbound(利用支線から学外へ)とinbound(学外から利用支線へ)の通信に対して通過する内容を設定をすることができます。設定する内容は、「全遮断」と「全通過」以外に、あらかじめ決められた以下のサービスグループから選択することができます。
各サービスグループに含まれるアプリケーション
| 分類 | 含まれる通信 |
|---|---|
| S1 | HTTP, HTTPS, QUIC, RTSP, MMS |
| S2 | SSH |
| S3 | FTP |
| S4 | POP, POPS, IMAP, IMAPS |
| S5 | ICMP |
| S6 | 情報検索 |
| S7 | DNS |
| S8 | VPN |
| S9 | SMTPS, SUBMISSION |
| S10 | SMTP |
各アプリケーションについて
| 種類 | 説明 |
|---|---|
| HTTP/HTTPS | |
| QUIC | |
| RTSP | QuickTime, Realのstream |
| MMS | Windows Mediaのstream |
| SSH | |
| VPN | PPTP(1723/tcp), L2TP(1701/udp), IPSec(AH, ESP, IKE:500/udp, IPSec NAT Traversal:4500/udp), GRE, 一般的なVPNクライアントが使用するポート(992/tcp, 1194/tcp, 1194/udp, 8888/tcp, 10000/tcp, 10000/udp)が含まれます。 SSL-VPN、EtherVPN等のHTTPSを使用するものについてはS1をご利用下さい。 |
| FTP | パスワードが平文で流れます |
| SMTP,SMTPS | メール送信。メール送信に学内サーバ(代行サービス等)を利用している場合は利用支線>学外へのSMTPは不許可としても学内サーバ経由でメール送信可能です。こうすることでウィルス感染による利用支線内端末から学外への直接ウィルスメール送信を予防できます。 |
| SUBMISSION | 迷惑メール対応メール送信。 |
| POP | メール受信。パスワードが平文で流れます |
| IMAP | メール受信。パスワードが平文で流れます |
| ICMP | traceroute, pingなど |
| 情報検索 | 現在、図書館のSciFinderとCrossFireが含まれてます。 「情報検索」には図書館のサービスなど全学的に有用なものを 順次加えて行く予定です。ご要望がありましたら、 まずは、query@noc.titech.ac.jpにご相談下さい。 |
建物スクリーニング設定
建物スイッチで通信制限を行うスクリーニングの設定を行います.
- 全遮断 (情報基盤センターと図書館を除く)
センターの計算機や代行サービスや図書館の情報検索などの例外を除いて、 内側からも外側(学内含む)からも通信ができなくなります。 センターの代行サービスやプロキシサービスを利用することにより、 ウェブホームページの閲覧やメールの送受信は可能です。 そのため安全性はかなり高くなります。 - 内側からのTCPのみ (情報基盤センターと図書館を除く)
利用支線の内側から接続したTCP通信のみ許可します。 ウェブホームページの閲覧や外部のメールサーバへのアクセスは 内側から接続するTCP通信であるので利用できます。 一方で、外部からの接続やUDP通信を排除できるため、 安全性は比較的高くなります。 ただし、外部から接続を必要とするアプリケーションや UDPを用いるストリーミングなどは利用できません。 - 全通過
建物スイッチではすべての通信が通過します。
よくある質問
-
利用している支線ネットワーク(IPアドレス)の連絡担当者がわかりません。
-
ご利用されているグローバルIPアドレスを記載し、メールでお問い合わせください。
使用しているIPアドレスが不明の場合には、T2Box アクセス時に表示されるIPアドレスおよび所属(学院/系)、建物名を記載しお問い合わせください。
-
現在の設定がわかりません。
-
ご利用支線の管理者または連絡担当者からメールでお問い合わせください。連絡担当者以外の方からのお問い合わせはセキュリティなどを考慮し、回答できませんのでご了承ください。
-
Gmailをメールソフトを用いて送信するには、どうすればいいでしょうか。
-
Gmailのメール送信は以下の2ポートに対応しています。
・465: SMTPS
・587: Submission
このためメールソフトからの送信についてはS9のみで問題ありません。
S10のSMTPは主にメールサーバを運用する場合に必要となります。
おすすめ設定
- 最大限にセキュリティを確保する場合
メールやウェブサーバはセンターのネットワーク代行サービスを利用し、 外部へのウェブアクセスについてはnocのプロキシサービスを利用します。ファイアウォール設定はinboundとoutboundともに「全遮断」とします。建物スクリーニング設定も「全遮断」とします。 - ウェブ以外の外部サービスを利用する場合
利用するサービスがTCP通信のみで内部からのみ接続する場合、 ファイアウォール設定では利用するサービスをoutboundで選択し、 建物スクリーニング設定では「内部からのTCPのみ」を選択します.
参考:IPアドレス範囲の記入の仕方
1つのIPアドレスを指定するときは通常のAAA.BBB.CCC.DDDの形式で記述します。 アドレスの範囲を指定するときはCIDER形式で指定します。 CIDERブロックはAAA.BBB.CCC.DDD/MMと記述し、 開始アドレス(AAA.BBB.CCC.DDD)とマスク(MM)を指定します。 マスクは1から32の値を取り、頭から何ビットがマスクであるかを指します。 すなわち、2の(32-MM)乗の個数のアドレスを指定することになります。 また、そのとき、DDDは2の(32-MM)乗で割り切れる必要があります。
例えば、131.112.126.0/24からアドレス範囲を指定する場合以下のとおりです。
131.112.126.2/31 = 131.112.126.2-3 2個のアドレス範囲
131.112.126.4/30 = 131.112.126.4-7 4個のアドレス範囲
131.112.126.0/28 = 131.112.126.0-15 16個のアドレス範囲
【早見表】
| /32 -> 1個のアドレス | 末尾の数字は1で割り切れる |
| /31 -> 2個のアドレス | 末尾の数字は2で割り切れる |
| /30 -> 4個のアドレス | 末尾の数字は4で割り切れる |
| /29 -> 8個のアドレス | 末尾の数字は8で割り切れる |
| /28 -> 16個のアドレス | 末尾の数字は16で割り切れる |
| /27 -> 32個のアドレス | 末尾の数字は32で割り切れる |
| /26 -> 64個のアドレス | 末尾の数字は64で割り切れる |
| /25 -> 128個のアドレス | 末尾の数字は128で割り切れる |
| /24 -> 256個のアドレス | 末尾の数字は256で割り切れる |