透過型ファイアウォール(FWX120 コマンド設定例)

本設定例は、以下の機種に対応しています。

対応機種: FWX120

ネットワーク環境に合わせてファイアウォールを追加したい

FWX120を使って既存のインターネット接続のセキュリティ強化を行えます。FWX120であれば、既設のブロードバンドルーターの置き換えも可能ですが、透過型ファイアウォール機能を使うことで、ネットワーク変更無しでアドオンすることができます。

技術情報: 透過型ファイアウォール機能

現状の問題点

図 現状の問題点

FWX120 透過型の設定例

本設定例は、FWX120配下のホストから外部ネットワークへのWeb閲覧(FTP含む)とメールを利用可能とし、インターネットなどの外部ネットワークからFWX120配下のホストへの通信は、透過型ファイアウォールによって遮断しています。

ブリッジの設定 bridge member bridge1 lan1 lan2
ip bridge1 address dhcp
フィルタの設定 ip policy service group 101 name="Open Services" ftp www https
ip policy service group 102 name=General dns dhcpc dhcps icmp
ip policy service group 103 name=Mail pop3 smtp submission
ip policy service group 105 name=Route rip ospf
ip policy service group 106 name=NetBios netbios_ns netbios_dgm netbios_ssn
ip policy service group 107 name="Windows Tcp" tcp/135 tcp/445
ip policy service group 108 name="Windows Udp" udp/135 udp/445
ip policy service group 200 name=Group group 101 102 103 105 106 107 108
ip policy filter 2200 reject-nolog lan1 * * * *
ip policy filter 2210 reject-nolog * lan2 * * *
ip policy filter 2211 pass-nolog * * * * 200
ip policy filter 2220 static-pass-nolog * local * * *
ip policy filter 2250 reject-nolog lan2 * * * *
ip policy filter 2260 reject-nolog * lan1 * * *
ip policy filter 2261 pass-nolog * * * * 102
ip policy filter 2270 static-pass-nolog * local * * *
ip policy filter 2300 static-pass-nolog local * * * *
ip policy filter 3000 reject-nolog * * * * *
ip policy filter set 101 name="Internet Access" 2200 [2210 [2211] 2220] 2250 [2260 [2261] 2270] 2300 3000
ip policy filter set enable 101
DNSの設定 dns server dhcp bridge1

ルーター型の設定例については、こちらをご覧ください。