XG Firewall v18のルールを作成する

この記事で実現すること

XG Firewall v18を使ったインターネットアクセスのための、デフォルトのルールを作成します。この際にリスクの大きい通信を止めたり、Webのポリシー(閲覧が好ましくないサイト)の設定ができるようになります。また、v18のNATについて説明します。

Traffic to Wanルールの作成

いよいよ、実際の基本的なルールを作成します。ルールとポリシーのメニューから、ファイアウォールルールの追加ボタンを押し、”新しいファイアウォールルール”を選択します。ルール名にはここでは”To_Internet”とします。ルールグループは”自動”のままで構いません。アクションは”許可する”のままです。ファイアウォールのログは出力するようにチェックしておきます。現時点で”選択した条件に一致しないため、ルールを既存のグループに追加できません”との表示がありますが、その下のルール設定に進みます。

送信元ゾーンには、”LAN”を設定します。今後、VPNを使う方は”VPN”も加えてください。宛先ゾーンは”WAN”を指定します。その他は変更しません。これを設定した段階で上部に表示されていた注意メッセージが”このルールは自動的にルールグループTraffic to WANに追加されます”という表記に変わります。

続いて、アプリケーションファイアウォールの設定です。

セキュリティ機能のWebフィルタリングをクリックし、詳細メニューをオープンします。今回は基本的なルール追加の説明としてスタンダードな内容を設定します。

  • Webポリシーは”Default Policy”を選択します
  • “HTTPおよび復号化したHTTPSをスキャン”をチェックします
  • “FTPのマルウェアをスキャン”をチェックします
  • QUICプロトコルのブロックは任意選択です
    Googleのサービスで利用されています。私はチェックしています。Google自体は問題ないですがそのプロトコルを利用した悪質なサイトがFirewallを回避するリスクを減らすという意味で選択しています
  • その他のセキュリティ機能でアプリケーションコントロールを選択します
    最もリスクが高いアプリケーションを拒否する”Block very high risk(Risk Level 5) apps”を選択します
  • IPSは一般的なルール”lantowan_general”を選択します

保存ボタンをクリックするとルールの追加が行われます。Webポリシーが”Default Policy”で広告が禁止されていればブラウザではエラー画面が表示されます。またサイトのカテゴリ(ギャンブル、アダルト)などもDefault Policyの設定内容によって、どのようにアクセスが止まるのか確認をしてください。XG画面の右上にログビューアがあるので、”ファイアウォールルール”、”アプリケーションフィルタ”、”Webフィルタ”のログを確認してください。許可・拒否のログを確認しながら、さらに新しいルールを加えるなど、カスタマイズを進めてください。Webフィルタについての解説は、「XG Firewall v18のポリシーをカスタマイズする」、「XG FirewallのWebとアプリケーションフィルタについて」を参照してください。なお、SSL/TLSインスペクションの設定が有効になるまでは、アプリケーションフィルタやWebフィルタも完全には動作しません。Windows、macOS、iOSにはSSL/TLSインスペクションを設定される事をお勧めします。SSL/TLSインスペクションについては「SSLインスペクションについて」を参照してください。

宛先ネットワークの留意点

宛先ネットワークの指定は、ドメインで絞るなど使い方によっては非常に便利です。しかし、昨今では目的のサービスがAWS上にホストされていたりCDN(Content Delivery Network)に登録されているケースもあり、ドメインで絞る事が難しい場合もあります。FirewallのログにはIPアドレスが表示されていても、どのドメインに対してのアクセスなのかは判別が難しく少し煩雑な対応を必要とするケースがあります。

3つのルール

ルールとポリシーのメニューには、”ファイアウォールルール”と”SSL/TLSインスペクションルール”、NATに関する”NATルール”の3つの設定があります。最初からビルトインされている”Default SNAT IPv4”というNATルールは、プライベートIPアドレスからWANへ出ていく時に、パブリックIPへと変換するためのNATの仕組みが記述されています。具体的には、NATルールのインターフェースの一致条件において、”Port2”から出ていくパケットはSNATの”MASQ”が必要と記述されています。

XG v17まではファイアウォールのルール1つ1つに対して、NATを行うか否かを設定していました。v18では、ファイアウォールルールとNATルールとは切り離されました。v18ではLANからWAN、VPNからWANなどのインタフェースやIPアドレス単位でNATの設定を行います。v17からv18にバージョンアップした際はマイグレーションプロセスによって、ファイアウォールルールとリンクされたNATが1つづつ作成されます。ホームユーザーにおいては、よほど複雑な環境でなければNATのルールはVPN+LANからWANへの1つで十分です。

3つのルールの関係

ルール 内容
ファイアウォール インタフェース、接続元ホスト、接続先ホスト、プロトコル単位に許可、拒否のルールを決定します。今回は”To Internet”というLAN(VPN)からWANに対して全てのトラフィックを通過させるルールを追加しました。
NAT インターフェース、IPアドレス単位にNATを行うか否かを決定します。最初からNATルール”Default SNAT IPv4”が登録されており、WANから出ていくトラフィックはファイアウォールルールの種類に関わらず、原則NATされます。
SSL/TLSインスペクション SSL/TLSインスペクションを行う端末か対象外の端末かを決定します。TLSの低いバージョンを除外する仕組みを持ちます。また検査除外するドメインも指定可能です。