安全对策的详细

安全对策的详细

关于安全的概要,请浏览「安全是指」。

在此对于安全对策的详细进行说明。安全对策中使用的功能,按照目的和用途分为以下几种。

MAC地址过滤(以太网过滤)

MAC地址过滤是指,根据预设条件收发或丢弃帧的功能。条件可以指定帧的「方向(发送/接收)」、「源MAC地址」、「目标MAC地址」。

使用MAC地址过滤的话,就可以进行允许或者拒绝特定的终端访问LAN。

安全是指?

在使用MAC地址过滤时,可以很方便的和邮件通知功能一起使用。当检测到非法连接时,就会向指定的邮箱发送邮件通知。

那么,简单的介绍一下MAC地址过滤的设置方法。
首先是,允许特定的终端访问LAN的设置。以下图为例作说明。

安全是指?

当路由器在LAN1接收到帧时,会确认「对比顺序:1」的过滤。如果,源MAC地址和预先设置的地址一致的话,就通过该帧。如果和「对比顺序:1」的过滤不一致时,就确认「对比顺序:2」的过滤。在「对比顺序:2」的过滤中,将丢弃所有的帧。因此,只有特定的终端可以访问LAN。

顺便一说,"*"是指"所有可能的值"的意思。例如,目标MAC地址设置为「*:*:*:*:*:*」时,表示任意MAC地址都是目标地址。

接下来是,拒绝特定的终端访问LAN的设置。以下图为例作说明。

安全是指?

当路由器在LAN1接收到帧时,会确认「对比顺序:1」的过滤。如果,源MAC地址和预先设置的地址一致的话,就丢弃该帧。如果和「对比顺序:1」的过滤不一致时,就确认「对比顺序:2」的过滤。在「对比顺序:2」的过滤中,将通过所有的帧。因此,只有特定的终端不能访问LAN。

技术信息

代表性的设置例

IP过滤

IP过滤是指,根据预设条件收发或丢弃数据包。条件可以指定数据包的「方向(发送/接收)」、「协议」、「源IP地址」、「目标IP地址」、「源端口号」、「目标端口号」。

使用IP过滤的话,可以限制因特网和LAN之间的通信,限制部门间的通信等。

安全是指?
限制从WAN向LAN的通信
安全是指?
限制内部LAN间的通信

那么,简单的介绍一下IP过滤的机制。IP过滤有静态过滤和动态过滤两种类型。

静态过滤

静态过滤是指为了控制通信而将出入口一直打开或关闭的过滤。基本上出入口的开闭是根据过滤的设置事先决定好的,不能在中途打开或关闭。

如下所示进行设置静态过滤,可以只允许LAN和因特网之间进行HTTP(TCP端口号:80)的通信。除此之外的通信被丢弃。静态过滤的"符合条件的数据包总是通过,或者丢弃"是关键点。

安全是指?

设置中的静态过滤如下图所示。

安全是指?

对于此例再稍微说明一下。路由器在接收到数据包时会确认「对比顺序:1」的过滤。如果符合IP地址或协议等的条件的话,就让该数据包通过。如果和「对比顺序:1」的过滤不一致时,就确认「对比顺序:2」的过滤。在「对比顺序:2」的过滤中,将丢弃所有的数据包。因此,只有192.168.1.0/24的终端可以进行HTTP的通信。

※这个过滤的设置是为了说明,内容做了简化。只是这样的话,例如通过DNS进行域名解析(UDP端口号:53)的数据包也会被丢弃。

顺便一说,"*"是指"所有可能的值"的意思。例如,目标IP地址为「*.*.*.*」时,表示任意IP地址都是目标地址。另外,目标端口号为「*」时,表示任意端口号都是目标端口号。

动态过滤

动态过滤是指可以根据通信的状态,进行开关门的过滤。具体为,在通信开始时打开门,在通信结束时关闭门。"没有通信时,门始终关闭"是关键点。如果不是必需的,门将不会被打开。

来稍微看看具体的运行过程吧。在从LAN至因特网的出口处,设置了一条静态过滤。然后又设置了一条动态过滤。如图所示。

安全是指?

如此,从LAN至因特网的方向(OUT)上数据包可以自由地发送。而从因特网至LAN方向(IN)上,门没有打开。这样的话,从HTTP服务器返回的数据包将无法通过。

此时动态过滤登场了。从LAN至因特网的数据包通过时,以此为契机,动态过滤的门打开了。由于门已经打开,所以从HTTP服务器返回的数据包就可以通过了。

安全是指?

安全是指?

之后,HTTP服务器和PC之间的数据包都由此动态过滤的出入口进行通信。
必需的对话结束后,再次将门关闭。

安全是指?

安全是指?

设置中的IP过滤,如图所示。

安全是指?

如上所说明的,动态过滤只在必需的时候开关门。比起一直开着,只在必需时开门的安全性更高。因此,在连接因特网等需要安全性的场合,推荐使用静态过滤和动态过滤的组合设置。

到此说明了静态过滤和动态过滤的概要。通过严格的限制IP过滤的条件,可以提高网络的机密性,完整性。但是,如果设置的条件太严格的话,也可能失去可用性,使网络变得难以使用。实际在设置IP过滤时,要确认机密性、完整性、可用性的平衡是关键点。推荐在设置IP过滤前,进行需求分析和设计。

技术信息

代表性的设置例

非法访问检测(IDS:Intrusion Detection System)

非法访问检测是可以检测从因特网发起的入侵或攻击,发出警告或者阻挡这些通信的功能。通过和非法数据包的模型相比较,来检测入侵或攻击。

在公开服务器时,从因特网有不特定的人可以访问时,使用本功能会比较安心。

安全是指?

非法访问检测可以检测出诸如LAND攻击(伪装IP头的源IP地址的攻击)或者非法格式的数据包的攻击。但是,正确的判断是否为入侵是很困难的,所以请注意,完全检测是不可能的。

使用非法访问检测时,和邮件通知功能共用将会十分便利。可以在检测到非法访问时,会向指定的邮箱发送通知邮件。

技术信息

代表性的设置例

URL过滤

一般来说,经常使用的应用软件,潜藏着更多的风险。应用程序级别的危险通信的检测,警告,阻断的其中一个机制就是URL过滤。

URL过滤是限制HTTP通信中可访问的URL的功能。当用户试图访问不适合的URL或危险的URL时将被屏蔽。

安全是指?
URL过滤的示意图
安全是指?
URL过滤的屏蔽页面

那么,简单的介绍一下URL过滤的机制。
URL过滤通过参考数据库,判断不适合的URL和危险的URL。参考的数据库分为内部参考型和外部参考型两类。

  • 内部数据库参考型的URL过滤
    是将URL的全部或一部分作为关键字登录到路由器中的方式。可以限制访问含有与该关键字一致的字符串的URL。另外,通过在设置过滤时指定源IP地址,也可以限制特定主机或网络的连接。
  • 外部数据库参考型的URL过滤
    是向外部的URL过滤服务经营者的数据库询问的方式。根据返回的该URL的评价结果,限制访问。

技术信息

代表性的设置例

邮件安全

一般来说,经常使用的应用软件,潜藏着更多的风险。应用程序级别的危险通信的检测,警告,阻断的其中一个机制就是邮件安全。

邮件安全是,针对LAN和WAN之间交换的数据包,进行垃圾邮件对策和病毒对策。

  • 反垃圾功能
    判断是否是垃圾邮件。
  • 反病毒功能
    对邮件的附件进行病毒扫描。

本功能的特长为:无需对防火墙下属的终端(终端、智能设备等)或邮件服务器安装特定的应用程序。另外,不管使用的终端的制造商和OS如何,都可以使用。

安全是指?

为了使用邮件安全功能,防火墙(产品名:FWX120)和选配项的许可证(YSL-MC120)是必需的。因为检查邮件是由云服务器执行的,所以防火墙必须设置在可以连接到互联网的环境中。顺便说一下,如果购买了许可证(YSL-MC120)的话,不止是邮件安全,还可以使用URL过滤的外部数据库(雅马哈的安全云)

技术信息

代表性的设置例

Winny过滤、Share过滤

使用文件共享软件“Winny”和“Share”的话,信息泄露的风险会提高。限制这些软件的通信的就是Winny过滤、Share过滤。一旦检测到“Winny”或“Share”所使用的数据包后,就将该数据包废弃,并切断通信。当检测到“Winny”或“Share”的数据包时,还可以记录非法访问检测的履历,可以有效的查找到使用软件的终端。

安全是指?

通过启用非法访问检测,可以使用本功能。

使用非法访问检测时,和邮件通知功能共用将会十分便利。可以在检测到非法访问时,会向指定的邮箱发送通知邮件。

技术信息

代表性的设置例

透明式防火墙

透明式防火墙是可以在不改变现有路由器和PC的设定的情况下设置防火墙的功能。

不想变更现有的连接因特网的路由器的设置,想在很多分公司同时追加防火墙等情况下,可以非常容易的导入透明式防火墙。

安全是指?

防火墙(产品名:FWX120)支持透明式防火墙功能。

那么,简单的介绍一下透明式防火墙的机制。

传统的路由式防火墙,连接至路由器的网络必须是不同的网段。因此,即使只想使用防火墙功能,也必须向各接口分配不同的IP地址,不能轻松地向现有网络添加防火墙。
使用本功能就可以解决该问题。透明式防火墙可以将LAN1和LAN2桥接成同一网段,因此没有必要变更IP地址。

相关术语

这是与透明式防火墙相关的术语。想更理解透明式防火墙,可以浏览。

  • 桥接功能
    将多个接口收容在一个虚拟接口中,在收容接口间进行桥接的功能。收容的各接口连接的物理网段作为一个网段处理。

技术信息

代表性的设置例

返回顶部Return to Top