最初に
ファイアウォールといえば、特にインターネットへシステムを公開する際に非常に重要なアイテムだ。
公開する際は、通常世界中からアクセスできるように、下記のように設定することが多い。
■システムを公開する時のポリシー例
送信元:Any(すべて) 宛先:公開したいシステム サービス:HTTPS
しかしこの設定方法はポピュラーであると同時によほど堅牢なシステムでない限り
あまりにも危険な設定方法といえる。
なぜなら、そもそも
あなたのシステムは本当に、世界中の人を対象にしたシステムだろうか。
きっと、ほとんどの場合、日本人を対象としているのでないだろうか。
そういう時、送信元を日本のみに制限してみるといい。
スケジュール設定とは、簡単に言うと
有効化したい日時だけ特定のポリシーを有効化する方法だ。
送信元アドレス設定
ファイアウォールポリシーの送信元アドレス設定を開いてみる。
検索窓にJPと検索すると、このように表示される。
そのままOKをしてみよう。
するとポリシー上、このように表示される。
これでOKだ。
たったこれだけで日本からのみアクセス許可させる設定になる。
そしてこれだけで、かなりサイバー攻撃に対する抑止にもつながる。
もちろん、同じように米国など、他の国でも同様に選択することも可能だ。
サイバー攻撃は海外から行われることがほとんど
サイバー攻撃のおおくは、海外からやってくる。
よくあるスキャンサービスも、サーバは海外に設置されることが多い。
世界中にシステムを公開してしまうと、だから世界中からの攻撃通信を受けてしまうんだ。
海外からアクセスできないということは、これら不要な攻撃通信も全て遮断するということ。
こんなお手軽にセキュリティレベルを上げられるなら実装しない理由などないだろう。
同様に、スケジュール設定もセキュリティ対策に非常に有効だ。
あわせて実装することをおススメする。
Paloalto PAシリーズを極める最短ルート
自宅で学習している場合は、ヤフオク!などで中古のPaloaltoファイアウォールを自己学習用に購入しておくことをオススメする。
何故ならセキュリティにおいて、概念としては理解できても、ではそれをどうすれば実装できるのかも同時に習得しておかねれば現場で活躍することはできないだろう。
しかし重要インフラに位置する機会がおおいPaloaltoファイアウォールを安易に操作するのは困難だ。
自宅環境に1台テスト用があればそれらの問題を解決できるだろう。
予算に余裕がある場合はPA220を持っておくことをおススメする。
PA200とPA220では、機能こそ同じだがハードウェア性能が全く異なるのだ。
PA200はとにかく遅いと感じるだろう。この待ち時間が学習意欲をそいでしまうならばPA220だ。
しかしPA200でもできることは同じなので、それで十分ならば安価な方がよいだろう。
PAシリーズを安価にGETする
PA-200は2018年10月31日に販売終了(EOL)になったため正規では購入できない。
しかし中古市場には安価に存在しており、入手可能だ。
コメント