サービス (このカテゴリのTOPに戻る)
| SecurePlanetとは | ゲートキーパーサービスパック |
| VPNマネージメントサービス | Firewallマネージメントサービス |
| SecurIDヘルプデスクサービス | 不正アクセス対策サービス |
| SecurID認証代行サービス | FAQ |
(質問一覧に戻る)
現在出荷されております機種はFirebox X e-seriesとなります。
Firebox X550e、X750e、X1250e の3機種がリリースされており、RoHS/WEEE 対応、EU諸国での環境基準をクリアしたFireboxXシリーズの後継機となります。
| 機種名 | 性能 | 仕様 |
| Firebox X550e | 最大スループット:125Mbps VPNスループット:30Mbps 同時セッション数:25,000 | I/F:10/100Mbps 4ポート サイズ:4.5(H)×42.6(W) × 36.2(D) cm 重量:4.39kg 電源:100〜240VAC |
| Firebox X750e | 最大スループット:200Mbps VPNスループット:50Mbps 同時セッション数:75,000 | I/F:10/100Mbps 8ポート サイズ:4.5(H)×42.6(W) × 36.2(D) cm 重量:4.39kg 電源:100〜240VAC |
| Firebox X1250e | 最大スループット:300Mbps VPNスループット:100Mbps 同時セッション数:200,000 | I/F:10/100/1000Mbps 8ポート サイズ:4.5(H)×42.6(W) × 36.2(D) cm 重量:4.39kg 電源:100〜240VAC |
FirewareはMSSに変わる新しい基本ソフトになります。
従来のMSSソフトウェアでは実装することが難しかった各種機能を利用可能となっております。
設定変更時の再起動など不要となります。
Q.FireboxのインターフェースのDuplexは変更できますか
インターフェイスのLink/Duplexを変更可能です。
Firebox X シリーズをご使用のお客様は、MSS 7.21 となっております。
Firebox X シリーズのお客様には順次Firewareへのバージョンアップをご案内させていただきます。
Firebox Xe シリーズをご利用のお客様は、Fireware 8.3 となっております。
Firewareより設定変更時の再起動はなくなりました。
パッチ適用、バージョンアップ等の作業をおこなった際には必ず再起動します。
バージョンアップ等でファームウェアを転送している際に通信が切断されることはありませんが、再起動時に通信が切断されます。
再起動に要する時間は1分程度となりますが、その間は通信をおこなうことが出来ません。
ドロップインとは、いわゆる透過モードのことです。
Fireboxのインターフェイス(例.External, Trusted, Optional)に同一のIPアドレスを割り当てることによって、External(外部ネットワーク)側、Trusted(内部LAN)側、Optional(DMZ)側のネットワークを同一セグメントとする設定です。
ドロップイン・ネットワーク構成にはいくつかの利点があります。まず既存のネットワークでLANとルータの間にFireboxを接続するだけで、既存のネットワークの構成変更を行うことなしに、透過的にFireboxを導入することができます。
またFireboxに割り当てるIPアドレスがひとつですみ、またネットワークをサブネットに分割する必要がないので小規模なネットワークにも容易にFireboxを導入できます。
ドロップインモード時に、各インターフェースの先にあるホスト(Fireboxと同一ネットワーク上のアドレス)をFireboxが自動判別いたします。
通信発生時にはFireboxにてホストの位置を判別いたしますが、対象のホストによってはFireboxの動作に影響を与えることがございます。管理IPが多いといった場合を除き、自動ホストマップ設定はお勧めいたしません。
ドロップインモード時に、自動ホストマップを利用しない場合、各インターフェースの先にあるホスト(Fireboxと同一ネットワーク上のアドレス)のアドレスを明示的に記述します。
Fireboxには、いわゆるプロキシ(キャッシュ)サーバー機能は搭載されていません。
ユーザ様のクライアントPCのインターネット・ブラウザなどでこの種の設定を行っている場合には解除する必要があります。
Q.プロキシタイプサービスとフィルタータイプサービスの違いはなんですか
Fireboxは基本的に、パケットフィルタータイプのFirewallです。パケットのIPヘッダの情報でフィルタリングを行います。
プロキシタイプのサービスを使用すると、パケットの内容まで精査します(特定のヘッダの有無で通信を拒否/許可、特定のヘッダを削除等)。それにより、より詳細なフィルタリングの設定が可能になります。ただし、内容を精査するため、フィルタータイプに比べてスループットは低下します。
Fireboxで、プロキシタイプのサービスが設定可能なプロトコルはHTTP、SMTP、FTP、DNSです。
FTPプロキシ使用時にFTPのコマンドを制限する機能があります。
外部へのFTP接続をおこなった際に、ファイルダウンロードは許可するが、ファイルアップロードは禁止するといった設定が可能です。
| コマンド | 解説 | 例 |
| ABOR | 実行中のデータ転送をすべて中止する。 | |
| APPE | サーバへ送信するデータを指定したファイルへ追加する。 | |
| CDUP | 1つ上位のディレクトリをカレントディレクトリとする。 | |
| CWD | 作業ディレクトリを変更する | cd |
| DELE | 指定したファイルを削除する。 | |
| EPRT | PORTコマンドの拡張。 | |
| EPSV | PASVコマンドの拡張。 | |
| HELP | コマンド一覧を表示する。 | |
| LIST | 現在のディレクトリ内のファイル一覧を表示する。 | ls |
| MKD | ディレクトリを作成する。 | mkdir |
| NLST | 現在のディレクトリ内のファイル一覧を表示する。 | mget |
| NOOP | 何もせず終了する。 | |
| PASS | パスワードを指定する。 | |
| PASV | パッシブモードへの移行を指示する。 | |
| PORT | データコネクションで使用するIPアドレス)とポート番号を指示する。 | |
| PWD | 現在のワーキングディレクトリを表示する。 | pwd |
| QUIT | ログアウトする。 | quit、exit、bye |
| REST | ファイル送受信をファイルの途中からレジュームする。 | |
| RETR | ファイルをサーバから取得する。 | get |
| RMD | ディレクトリを削除する。 | |
| RNFR | ファイル名を変更する(変更元ファイル名の指定)。 | |
| RNTO | ファイル名を変更する(変更先ファイル名の指定)。 | |
| STAT | 現在のシステム情報を表示する。 | |
| STOR | 指定したファイル名、送信するデータでファイルを作成する。 | |
| STOU | 指定したファイル名、送信するデータでファイルを作成する。ファイル名が既に 存在する場合は自動的にファイル名を変更する。 |
|
| SYST | システム名を表示する。 | |
| TYPE | 転送データの形式を指定する。 | bin、asc |
| USER | 指定したユーザー名でログインする | |
| XCUP | CDUPと同様 | |
| XCWD | CWDと同様 | |
| XMKD | MKDと同様 | |
| SITE | 任意のOSコマンドを実行する |
サービスの通信元(先)の制限にドメイン名は使用できません。通信元(先)の制限はIPアドレスで指定する必要があります。
WEBサイトの不要な閲覧を防ぐコンテンツフィルター、WebBlockerがございます。
WebBlockerは、Webサイトへのアクセスが発生した際に、有害サイトのデータベース(SurfControl社製)に照らし合わせて内部ユーザのWeb閲覧の許可/拒否を判断するという方式のフィルターです。
有害サイトのリストは、ポルノやギャンブルなど40カテゴリに分類されており、管理者の判断によって、不必要な分野のサイト閲覧 だけを禁止することができます。
カテゴリはwebblockerカテゴリ一覧をご参照ください。
※ご利用にはライセンスの購入が必要となります。
スパムメールフィルターとして、SpamBlockerがございます。
SpamBlockerはCommtouch社開発のソフトウェアを利用しております。
既存のフィルタリングソフトウェアはキーワード認識やRealtime Blackhole Lists (RBLs)に基づいて迷惑メールをブロックしておりましたが、SpamBlockerでは迷惑メールの特徴的なパターンを判断し迷惑メールをブロックします。
Commtouch社では常時インターネットを監視し迷惑メールの特徴的なパターンを収集しており、迷惑メールの発生検知を分単位で検出し、SpamBlockerへと反映いたします。
※ご利用にはライセンスの購入が必要となります。
FirewareにてQoSが実装されております。
しかしながら標準サービスとして提供はいたしておりません。
担当SEまでご連絡ください
Q.動的アドレス変換をおこなう際の送信アドレスを任意に設定できますか
サービス毎に設定することが可能です。
Firewareでは1対1NATがサポートされております。
なお、下記ポートフォワーディングの設定も同様に使用することが可能です。
プライヴェートアドレスを持ったサーバを公開する場合に、各サービスポートごとにポートフォワーディングを設定することができます。
FireboxのExternalに複数のIPアドレスを持たせて、それぞれをプライヴェートアドレスにポートフォワーディングすることも可能です。またこのとき、公開するポート番号とサーバーの受け取るポート番号を違うものにもできます。
ただし、プライヴェートアドレスを持ったホストから外側へ通信する場合は、アドレス変換(DynamicNAT)により、FireboxのExternalのアドレスに変換されます。
Firewareは動的ルーティングプロトコルを実装しております。
RIP、OSPF、BGPが設定可能ですが、標準サービスとして提供はいたしておりません。
担当SEまでご連絡ください。
Firewareには、SNMPを実装しております。
標準サービスとして提供はいたしておりません。
担当SEまでご連絡ください。
FireboxはExternal側からのポートスキャンやアドレススキャン、各種Floodなどのアタックを検知すると、その通信の通信元を悪意のあるものとし、一時的にブロックサイトに登録します。ブロックサイトに登録されたホストからの通信はデフォルトで20分間(変更可)すべて拒否されます。
| 防御機能 | 解説 | 設定値 |
| Drop Spoofing Attacks | スプーフィング攻撃を防御します。パケットはFireboxにて破棄されます。 | |
| Drop IP Source Route | IP Optionsを利用した攻撃を防御します。パケットはFireboxにて破棄されます。 | |
| Ping of Death | Ping of Death攻撃を防御します。※無効には出来ません。 | 2 |
| Block Port Space Probes | ポートスキャンを防御します。検知後、送信者からの通信を一定時間ブロックします。 | 10 dest Ports/Sorce IP |
| Block Address Space Probes | アドレススキャンを防御します。検知後、送信者からの通信を一定時間ブロックします。 | 10 dest IPs/Sorce IP |
| Drop IPSec Flood Attack | IPSecフラッド攻撃を防御します。設定値以上の量のパケットはFireboxにて破棄されます。 | 1500 packets/sec |
| Drop IKE Flood Attack | IKEフラッド攻撃を防御します。 | 1000 packets/sec |
| Drop ICMP Flood Attack | ICMPフラッド攻撃を防御します。設定値以上の量のパケットはFireboxにて破棄されます。 | 1000 packets/sec |
| Drop SYN Flood Attack | SYNフラッド攻撃を防御します。設定値以上の量のパケットはFireboxにて破棄されます。 | 5000 packets/sec |
| Drop UDP Flood Attack | UDPフラッド攻撃を防御します。設定値以上の量のパケットはFireboxにて破棄されます。 | 1000 packets/sec |
| Distribute Denial of Service Per Server Quota | サーバが受け取ることのできる接続数を制限することでDDoS(分散DoS)攻撃を防御します。設定値以上の量のパケットはFireboxにて破棄されます。 | デフォルト:無効 |
| Distribute Denial of Service Per Client Quota | クライアントが受け取ることのできる接続数を制限することでDDoS(分散DoS)攻撃を防御します。設定値以上の量のパケットはFireboxにて破棄されます。 | デフォルト:無効 |
またExternal側から登録されたブロックポートへのアクセスがあった場合も、通信元を一時的にブロックサイトに登録します。デフォルトでブロックポートに登録されているポート(アタックによく使われるポート)は次のとおりです。
1, 111, 513, 514, 2049, 6000, 6001, 6002, 6003, 6004, 6005, 7100, 8000
プロキシタイプSMTPサービスを使用することによって、外部から受け取るメールに次のような制限をかけることが可能です。
・メール容量上限制限
・同時通報上限制限
・MIMEタイプ制限
・特定ファイル名の添付ファイル削除
・From: または To: のドメイン名での制限
SMTPサーバの設定によっては、メールを受け取る際にAuth(ident)と呼ばれる認証を要求する場合があります。これに失敗した場合でも、多くのメールサーバのデフォルトの設定では、メールの受け取りを行います。しかしAuth認証のタイムアウトまでの間に、相手側のFirewallの設定等でSMTP通信のセッションが強制的に閉じられてしまうと、メールが送信できない場合があります。
この場合、Authプロトコルを許可する、FireboxにてAuthをRejectするといった対応が必要となります。
Firewareのデフォルトサービスには、FTPサービス(Filterタイプ)とFTP-Proxyサービス(Proxyタイプ)の二種類が存在しますが、Filterタイプのものは、FTPのデータコネクションが正しく通信できず、以下のような現象が起こる場合があります。
例)lsコマンドの後でフリーズしたように見える。getコマンドputコマンドを発行した後に、フリーズしたように見える。
Filterタイプでルールを作成した場合、FTPクライアント側からのTCP:21のみを許可しており、データコネクションに使用されるポートをFireboxが拒否してしまう状況、またサーバーからのバックコネクションをFireboxが拒否してしまう状況などがあります。サーバーデーモンやクライアントソフトの環境によっては、上記のような現象として現れます。
ProxyタイプのFTP-Proxyでは、FireboxがFTP通信内のペイロードのportコマンドを解析し、動的にポートの開放・閉鎖を行うため、上記問題を回避することができます。
弊社Firewareサービスでは、ProxyタイプのFTPの使用を推奨しております。
