セキュリティポリシー
NetGenesisを使用してインターネットへ接続している場合、WAN側からLAN側(NetGenesis)へ送られてくるIPフレームの「送信元IPアドレス」が「プライベートIPアドレス(※)」ということは通常ありえません。
よって、このようなIPフレームは「不正なIPフレーム」と判断されます。
また、LAN側からWAN側へ送られたIPフレームの「宛先IPアドレス」が「プライベートIPアドレス(※)」ということもありえませんので、「不正なIPフレーム」と判断されます。
 ※ ここでいう「プライベートIPアドレス」とは、NetGenesisのLAN内のIPアドレスを意味します。(工場出荷値:192.168.0.xxx)

これら不正なIPフレームを遮断し、IPアドレス スプーフィング(なりすまし)を防止します。
 
注意事項

■「ファイアウォール設定」画面で「設定されていないIPフレームは透過する」を選択して下さい。

■本設定例は、NetGenesisの動作モード設定(WANポートの設定)のPPPoEポート1(セッション1)を「IPアドレス固定(1〜16個)」に設定した場合の設定例です。
「IPアドレス固定・IPアドレス固定(1〜16個)」に設定した場合は、以降のファイアウォール設定例中の「PPPoE1」を「wan」と置き換えて設定して下さい。

本設定を行うと、プライベートIPアドレスを付与するプロバイダへ接続できなくなりますので注意して下さい。
プロバイダがプライベートIPアドレスを付与している場合は、そのプライベートIPアドレスのクラスに該当するフィルタを除いて設定して下さい。

追加するフィルタ

目的

追加 1
 Action CUT(遮断)

 IN

PPPoE1

 OUT

lan
 IP/Mask :  Src. 10.0.0.0/8 Dst. −(空欄) AND/OR
 Port No.:  Src. −(空欄) Dst. −(空欄) AND/OR
 DNS QTYPE: −(空欄)
 Protocol : any Flags −(未設定)
WAN側→LAN側方向の通信で、発信元IPアドレスがクラスAのプライベートIPアドレスの通信は遮断します。
追加 2
 Action CUT(遮断)

 IN

PPPoE1

 OUT

lan
 IP/Mask :  Src. 172.16.0.0/12 Dst. −(空欄) AND/OR
 Port No.:  Src. −(空欄) Dst. −(空欄) AND/OR
 DNS QTYPE: −(空欄)
 Protocol : any Flags −(未設定)
WAN側→LAN側方向の通信で、発信元IPアドレスがクラスBのプライベートIPアドレスの通信は遮断します。
追加 3
 Action CUT(遮断)

 IN

PPPoE1

 OUT

lan
 IP/Mask :  Src. 192.168.0.0/16 Dst. −(空欄) AND/OR
 Port No.:  Src. −(空欄) Dst. −(空欄) AND/OR
 DNS QTYPE: −(空欄)
 Protocol : any Flags −(未設定)
WAN側→LAN側方向の通信で、発信元IPアドレスがクラスCのプライベートIPアドレスの通信は遮断します。
追加 4
 Action CUT(遮断)

 IN

lan

 OUT

PPPoE1
 IP/Mask :  Src. −(空欄) Dst. 10.0.0.0/8 AND/OR
 Port No.:  Src. −(空欄) Dst. −(空欄) AND/OR
 DNS QTYPE: −(空欄)
 Protocol : any Flags −(未設定)
LAN側→WAN側方向の通信で、宛先IPアドレスがクラスAのプライベートIPアドレスの通信は遮断します。
追加 5
 Action CUT(遮断)

 IN

lan

 OUT

PPPoE1
 IP/Mask :  Src. −(空欄) Dst. 172.16.0.0/12 AND/OR
 Port No.:  Src. −(空欄) Dst. −(空欄) AND/OR
 DNS QTYPE: −(空欄)
 Protocol : any Flags −(未設定)
LAN側→WAN側方向の通信で、宛先IPアドレスがクラスBのプライベートIPアドレスの通信は遮断します。
追加 6
 Action CUT(遮断)

 IN

lan

 OUT

PPPoE1
 IP/Mask :  Src. −(空欄) Dst. 192.168.0.0/16 AND/OR
 Port No.:  Src. −(空欄) Dst. −(空欄) AND/OR
 DNS QTYPE: −(空欄)
 Protocol : any Flags −(未設定)
LAN側→WAN側方向の通信で、宛先IPアドレスがクラスCのプライベートIPアドレスの通信は遮断します。

Copyright © 株式会社マイクロリサーチ All rights reserved.