No.2ベストアンサー
- 回答日時:
ファイアウォールの設定だけを考えると
基本的に必要最低限のホストとサービス解放する ということですね。
各サービスでどういったポートを使うのかは、
たいていファイアウォールの基本サービスに入っていると思いますが(通常はそれを利用しますね)
ベストのセキュア状態となると、やはり個々に設定するのがよろしいかと。
そうなると各サービスの通信手順等を詳しく知る必要があります。
例えば単純にDNSサービスとした場合、普通ファイアウォールの基本サービスに入っているDNSなら
「53/TCP」「53/UDP」とTCP,UDPの両方が入っていると思いますが、
実際53/TCPはゾーンの転送等で使われるため運用によっては止めることができます。
メールならIDENTはふさぐとか、pingだけならICMPのTYPE0,8のみ開けるとか
個々に設定すれば(できればですが)セキュリティ向上になるでしょう。
あとは、内部PCから全て外部にhttp等接続するのではなく、
プロキシを立ててそれのみ外部接続を許可するとかでしょうか。
現在の状況をもっとくわしく記載すると回答がつくかもしれません。
・DMZのメールサーバ
→MTAの種類は?(IISのSMTPかな?)
内部には別にメールサーバがありそこにSMTPリレーしているのかな?
・DMZのWebサーバ
→httpのみでいいかな?SSLは使わない?
・DNS(内部、DMZのDNSサーバ)
・内部PCからインターネット接続
→http,https,ftpくらいかな?
ftpはPORTとPASV両方つかうのかな?
...etc
実際にはこのように詳細に設定していくというよりは、
サーバのセキュリティホールを埋める作業の方が
セキュアということであればウェイトを占めているかもしれませんね。
この回答への補足
早々のご回答ありがとうございます。
>・DMZのメールサーバ
>→MTAの種類は?(IISのSMTPかな?)
> 内部には別にメールサーバがありそこにSMTPリレーしているのかな?
メールサーバーはトータルでDMZ内に一台のみ設置を
予定しています。MTAを使用してリレーをしないと
LANからはメールはとれなくなるのでしょうか?
(すいません。ファイアウォール初心者なので全くわかりません。)
>DMZのWebサーバ
>→httpのみでいいかな?SSLは使わない?
SSLの使用は今のところありません。
>内部PCからインターネット接続
→http,https,ftpくらいかな?
今のところはそんな感じです。
>ftpはPORTとPASV両方つかうのかな?
FTPについてはPORTのみ使用予定です。(問題でしょうか??)
No.5
- 回答日時:
> 内部には別にメールサーバがありそこにSMTPリレーしているのかな?
メールサーバーはトータルでDMZ内に一台のみ設置を予定しています。
MTAを使用してリレーをしないとLANからはメールはとれなくなるのでしょうか?
(すいません。ファイアウォール初心者なので全くわかりません。)
⇒ ファイアウォールは全く関係ありません。SMTP と SMTPの中継の問題です。
SMTP のアプリケーションの解説は以下のサイトで。
@IT:公開と隠ぺいのジレンマ「SMTP」
http://www.atmarkit.co.jp/fnetwork/rensai/netpro …
http://www.atmarkit.co.jp/fnetwork/rensai/netpro …
>ftpはPORTとPASV両方つかうのかな?
FTPについてはPORTのみ使用予定です。(問題でしょうか??)
⇒ファイアウォールを通過しませんので、PASVモードの使用をお勧めします。
@IT:過去からの贈り物「FTP」
http://www.atmarkit.co.jp/fnetwork/rensai/netpro …
http://www.atmarkit.co.jp/fnetwork/rensai/netpro …
ちなみに、このサイトのシリーズは、書籍でも販売してます。プロトコルレベルはすべて解説してあります。このさい是非購入しても損はないと思います。
「インターネットプロトコルがわかる」技術評論社:ISBN4-7741-1383-2、1780円
あと、Windows サーバのセキュリティ構築についても書籍がでてます。
「Windows NT/2000 Server インターネットセキュリティ」オライリー・ジャパン
オライリーURL:http://www.oreilly.co.jp/BOOK/wnt2ksec/
No.4
- 回答日時:
スニファリングツール、LANパケットアナライザなどとよばれるようなソフトでチェックしてはいかがでしょうか?
探せばフリーのものもありますから、これらで流れているパケットをすべてキャプチャーして使われているものを見てみるのが良いと思います。
ちなみに、プロトコル制限では、あいているポートに対しての攻撃は可能ですから、使っているサービスに関するのセキュリティ対策は、きっちりしておきましょう。
No.3
- 回答日時:
ベストなセキュリティレベルを模索する前に最低限必要な設定のリストアップをしましょう。
DMZ内のサーバは「MSのセキュリティパッチを必ず充てておく」のが基本です。
これだけは絶対に忘れないでください。
ベストなセキュリティレベルは「ネットワークにつながない」ことです(笑)。
これぞ究極のセキュリティ!!
この回答への補足
返答ありがとうございます。
そうですね。わたしも日頃からパッチ当てだけは神経をとがらしてやってます。
>ベストなセキュリティレベルは「ネットワークにつながない」ことです(笑)。
確かに!!
No.1
- 回答日時:
取りあえずTCP/IPのポートを利用するプロトコルの一覧がありますのでそれをみてみてください。
職場であればネットゲームなんかの設定は必要ないかと思いますのでそれほど難しくないかと思います。
http://www.airstation.com/menu/tech/soft/info.html
余り開ければ色々出来るがセキュリティの問題があるということで最低限HTTP,FTP,TELNET,gopherなんかのポートを開けておいて時々SyslogをみてRejectされているプロトコルをチェックして必要そうなプロトコルだったら開けてやる程度で良いかと思います。
参考URL:http://www.murashima.matsudo.chiba.jp/mura/tcpip …
この回答への補足
ご解答ありがとうございます。
やはりその手が一番早く正確なのでしょうか?
ただファイアウォールの導入後に社内からのクレームの嵐だけは、なんとしてでもさけたいです。(笑)
現在社内で使用している全てのプロトコルを調べる事ができる無料ツールなどはないのでしょうか?
お探しのQ&Aが見つからない時は、教えて!gooで質問しましょう!
似たような質問が見つかりました
- その他(インターネット接続・インフラ) wifiルーターを替えたらswitchbot ハブミニが接続できなくなった 3 2023/07/07 13:58
- Windows 10 リモートデスクトップ接続 1 2022/07/12 14:30
- モニター・ディスプレイ ゲーム中、モニター設定画面でなぜか60hz表示になる 2 2022/10/10 17:03
- 画像編集・動画編集・音楽編集 Native Accessのインストールが先に進みません 2 2022/09/14 13:34
- その他(クラウドサービス・オンラインストレージ) OneDriveのアクセス権限の変更について教えてください! 1 2023/03/02 13:49
- ファイアウォール Windows11 のファイヤーウォールが有効にならなくなってしまいました 1 2022/11/30 22:54
- Windows 10 外部ドライブにマウントできない問題について 9 2022/03/22 18:08
- FTTH・光回線 光電話の宅内配線について 3 2022/06/22 14:47
- UNIX・Linux redmineにメールを飛ばす方法 1 2022/09/13 22:02
- 銀行・ネットバンキング・信用金庫 楽天デビットカードカードに詳しい方!! ご回答頂けると幸いです 質問1 家族の許可ありで使用してる 3 2023/08/07 22:53
関連するカテゴリからQ&Aを探す
おすすめ情報
デイリーランキングこのカテゴリの人気デイリーQ&Aランキング
-
アドビフレスコ(無料版)について
-
UNITYでログインができません
-
ノートンの返金申し込みをしま...
-
yahooの開くのが遅い
-
windows11でファイアーウォール...
-
学校のパソコンについて
-
RealPlayerサイトにアクセスで...
-
マイクロソフトアカウントとメ...
-
「Yahoo!知恵袋」にログインで...
-
チャットGPTのログインができない
-
Windows11 のファイヤーウォー...
-
ブロックチェーンの活用事例は...
-
小学生のインターネット利用
-
不織布マスクの有害性について
-
PCの起動時のパスワードを忘れ...
-
マカフィー メルアド変更手続き
-
こんなのが出て質問に補足でき...
-
【Windowsの設定】がありません
-
ファイアウォール。 ウインドウ...
-
グーグルのVoiceMatchを設定す...
マンスリーランキングこのカテゴリの人気マンスリーQ&Aランキング
-
IPアドレス 0.0.0.0 からのアク...
-
アクティブディレクトリとアク...
-
ICMPは通るのにTCP/UDPが通らない
-
telnetの時にタイムアウトが発...
-
プライベートIPアドレスは通信...
-
友達と遊ぶ為にMinecraftの鯖を...
-
8個のグローバルIPをRTX1200に...
-
OP25B対策で、25番ポートを閉じ...
-
「239.255.255.250:1900」宛の...
-
同セグメント内に流れているパ...
-
ポート開放ができるWi-Fiルータ...
-
WindowsのフリーソフトでSYSLOG...
-
NT Kernel System(ntoskrnl.exe...
-
インターネットに接続している...
-
アイフォンのメールをパソコン...
-
ポート開放なしで通信できるわけ
-
コンソール接続におけるパケッ...
-
マインクラフトマルチサーバー...
-
YAMAHA RT58iで、ルータのログ...
-
スイッチで挟んでもpingは通ら...
おすすめ情報