ルータは外部ネットワークからデータを受信する責任があり、ローカルネットワークセキュリティに関しては最初の防衛線となります。ルータでアクセスルールを有効にすると、IPアドレスやポート番号などの特定のパラメータに基づいてパケットをフィルタリングできます。このドキュメントでは、ネットワークに入るパケットをより適切に制御するためのアクセスルールの設定方法について説明します。このドキュメントでは、アクセスルールを使用して最高のセキュリティを実現するためのベストプラクティスについても説明します。
ステップ1:構成ユーティリティの左側のナビゲーション・ペインで、[Firewall] > [Access Rules]を選択します。
[Access Rules]ページが表示されます。このページには、IPv4とIPv6のアクセスルールとその属性のリストを含むテーブルがあります。ここから、新しいアクセスルールを追加したり、既存のルールを編集したり、既存のルールを削除したりできます。
ステップ2:新しいアクセスルールを追加するには、ルールを適用するプロトコルに応じて、[IPv4 Access Rules]テーブルまたは[IPv6 Access Rules]テーブルに追加する青いアイコンをクリックします。この例では、IPv4が使用されます。
既存のエントリを編集するには、変更するアクセスルールの横にあるチェックボックスをオンにします。次に、対応するテーブルの上部にある青い編集アイコンを選択します。一度に選択できる規則は1つだけです。
[Add/Edit Access Rules]ページが表示されます。
ステップ3:[Rule Status]のチェックボックスをオンまたはオフにして、動作中にアクセスルールを有効または無効にします。これは、後で適用するために保存するアクセスルールがある場合に便利です。
ステップ4:[Action]フィールドで、着信ネットワークトラフィックへのアクセスをルールで許可するか、拒否するかを指定します。
注:望ましくないトラフィックだけを拒否するのではなく、受信を想定するトラフィックだけを許可するアクセスルールを設定することが、最適なセキュリティを実現することをお勧めします。これにより、未知の脅威からネットワークを保護しやすくなります。
ステップ5:[サービス]フィールドで、アクセスルールを適用するネットワークサービスのタイプをドロップダウンメニューから選択します。
注:[IPv4またはIPv6]オプションボタンは、[アクセスルール]ページからアクセスルールを適用するために選択したテーブルに基づいて自動的に選択されます。
ステップ6:[Log] フィールドから、ネットワークに入るパケットが適用されたルールに一致した場合にルータでログメッセージを生成するかどうかを選択します。
ステップ7:[Source Interface]ドロップダウンリストから、アクセスルールが適用される着信パケットのネットワークインターフェイスを選択します。
ステップ8:[Source Address]ドロップダウンリストから、アクセスルールを適用する着信アドレスのタイプを選択します。オプションは次のとおりです。
注:[Single]、[Subnet]、または[IP Range]を選択すると、対応するフィールドがドロップダウンメニューの右側に表示され、アドレスの詳細を入力できます。この例では、IP範囲を入力してデモンストレーションを行います。
ステップ9:[Destination Interface] ドロップダウンリストから、アクセスルールが適用される発信パケットのネットワークインターフェイスを選択します。
ステップ10:[Destination Address]ドロップダウンリストから、アクセスルールが適用される発信アドレスのタイプを選択します。オプションは次のとおりです。
注:[Single]、[Subnet]、または[IP Range]を選択すると、対応するフィールドがドロップダウンメニューの右側に表示され、アドレスの詳細を入力できます。この例では、サブネットを入力して説明します。
ステップ11:[スケジュール名]ドロップダウンリストから、アクセスルールを適用するタイムスケジュールを選択します。
注:セキュリティを強化するには、ビジネスが稼働していないときに不要な接続が拒否されるように、重要でないネットワークアクセスを営業時間に制限することがベストプラクティスです。
注:アクセスルールのスケジュール時間を設定する場合は、[スケジュール名]ドロップダウンの右側にあるリンクをクリックします。これらのスケジュールの設定方法については、こちらをご覧ください。
ステップ12:アクセスルールの設定に問題がなければ、[Apply]をクリックして確認してください。
これで、メインの[アクセスルール]ページに戻ります。
注:新しいアクセスルールが作成されると、その優先度がリストの一番下に配置されます。つまり、特定のパラメータでアクセスルールが他のアクセスルールと競合する場合、優先順位の高いルールの制限が優先されます。ルールを優先度の上または下に移動するには、[Configure]列にある青い矢印を使用します。
ステップ 13(オプション): アクセス規則の一覧を既定に戻す場合は、ページの右上隅にある[既定に戻す]をクリックします。
ステップ14:リストからアクセスルールを削除するには、削除する対応するルールのチェックボックスをオンにします。リストの上部にある青いゴミ箱アイコンを選択します。複数のアクセスルールエントリを一度に削除できます。
サービス管理を使用すると、ポート番号、プロトコル、およびその他の詳細に基づいて、既存のネットワークサービスを追加または編集できます。これらのネットワークサービスは、アクセスルールを設定するときに[サービス(Services)]ドロップダウンで使用できます。サービス管理リストの設定メニューを使用して、カスタムサービスを作成し、アクセスルールに適用して、ネットワークに入るトラフィックをより細かく制御できます。サービス管理の構成方法の詳細については、ここをクリックしてください。
適切に適用されたアクセスルールは、WAN接続を保護するための貴重なツールです。上記のガイドと説明されているプラクティスを使用して、RV160xまたはRV260xルータのセキュアアクセスルールを適切に設定するために必要な情報をすべて入手する必要があります。