11-3. FireWall-1 について '96/05〜

  (1) FireWall-1 の概要と特徴

    --------------------------------------------------------------------------------
    FireWall-1 は実は、かなり以前からあるファイアウォ−ル・ソフトである。 99年7月
    時点では Sun 社からは Version 3 が出ている。 (1)〜(3) は Version 2, 2.1 について
    記し、(4) では Version 3 について記すことにする。基本的なことは変わっていない。
    --------------------------------------------------------------------------------

   * 製品概要

    製品としては保護台数が50台まで、250台まで、そして無制限のライセンスのものが
    ある。この台数というのは、FireWall-1 に登録できるホストの数である。FireWall-1 に
    登録せずに、ネットワ−ク接続してあるホストはどうなるのか。この場合 FireWall-1 は
    そのホストをそもそもネットワ−ク接続されていないものとして扱う。しかしFireWall-1
    はちゃんとカウントしている。ともかく FireWall-1 以下の内部ネットワ−クにあるIP
    アドレスがついたコンピュ−タ、ル−タなど全てが対象になる。NFS などサ−バ/クライ
    アントのクライアントのホストはどうか。ネットワ−ク的にはサ−バもクライアントも関
    係ない。IPアドレスのついたホストであることには変わりないということである。

    製品はライセンス数による種類だけでなく、他のホストから FireWall-1 を制御するソフ
    トや、Cisco のル−タを管理するソフト等がある。一番高いのは770万円もする。一番
    安いのは30日間だけ使える評価用の Evaluation Pack, 27,000 円。 マニュアルもちゃ
    んとついている。一応96年5月での値段を掲げておく。細かくモジュ−ルが別れていて、
    暗号化モジュ−ルだとかエンタ−プライズバ−ジョンだとか、売っている会社が違えば呼
    び方も異なる。 以下はCTCが販売する Solstice FireWall-1 での呼び方と値段である。
    バ−ジョンは 2.0、添付マニュアルは英語版である。97年3月確認したところ、フォ−
    バルクリエィティブの方は、しっかりした日本語マニュアルを用意していた。

        Light Security Center,VPN 機能なし  --  約  90万円。ライセンス50台分。
        Light Security Center,VPN 機能あり  --  約140万円。ライセンス50台分。
        Internet Security Center,VPN 機能なし-- 約340万円。無制限ライセンス分。
        Router Security Module -------------    約  36万円。Cisco のル−タ管理。


        Router □                       この構成は、この当時ライセンス数の無制限版に
               |     バリアセグメント  のみサポ−トされていた。Ver.4.0 からはどれで
             ---------------            もできるようになった。
                   |    □ WWW/Mail 
                   |    |
        FireWall-1 □----------- DMZ( DeMilitalized Zone )      
                   |
             ---------------

    [ バ−ジョン ]

    Version 2.0 − 96年3月
        IPアドレス変換機能。VPN 機能(オプション)。
        HTTP Authentication Proxy 機能。
                                
    Version 2.1 − 96年9月
        SecuRemote 機能(オプション)Windows 95。
        GUIクライアント機能 Windows 95/NT。Internet Phone サポ−ト。

    Version 3.0 − 97年5月
        CoolTalk, Microsoft Net Meeting サポ−ト。

    Version 4.0 − 98年9月  (実際手元にきたのは '99/10 だった)
        PKI, IKE, LDAP, OPSEC 機構サポ−ト。

    ※ `02/06追記、DMZ 構成は、バ−ジョン 3 までは無制限ライセンス版でしかできかった。
        販売元にメ−ルを送り確認したところ、 バ−ジョン 4.0 ではどのライセンス数ので
        もできるということだった。


    [ 参考文献 ]

    http://www.checkpoint.com/                               << たくさん情報がある。
   「テクインフォ」 CTC '97/03 VOL.6, P.46〜55            << インスト−ルに詳しい。
   「イントラ&インタ−ネットセキュリティ」オ−ム社, '96/09。<< これは分かり易い。

                  
   * FireWall-1 最大の特徴
     
    フィルタリング技術のステ−トフル・インスペクション。FireWall-1は分類としてはパケ
    ットフィルタリング型のファイアウォ−ルである。しかし SLMI( Statefull Multi-Layer 
    Inspection ) でより強固なセキュリティを確保していると唱っている。 ただのパケット
    フィルタリングでは、イ−サネットのインタ−フェ−スさえ認識していない。インタ−ネ
    ット側のイ−サネットの口から入るパケットは、外部から来たパケットに違いない。今入
    って来たパケットは、さっき外に出て行った Internet Phone の戻りパケットに違いない。
    どうもこうした判断を SLMI は やっているようである。


   * 特徴いろいろ
     
    設定方法:基本的に設定は Sun の場合は OpenLook のGUIで全部行う。 直感的な操作
    で設定はそんなに難しくはない。数時間触っていればだいたい覚わる。GUIが嫌いな人
    はコマンドでもできる。フィルタリング・ル−ルも手書きで記述はできるが、あまりお勧
    めではないとのことである。

    仮想私設網: Ver.2.0 になって VPN( Virtual Private Network )機能が、モジュ−ルと
    して追加された。この機能を使えば、例えば本社と支社間でインタ−ネット越しに専用線
    を引いたのと同じことになる。両方に FireWall-1 を設置して、 FireWall-1 間でパケッ
    トを暗号化して機密性を確保するのである。実績の程、有効性は不明である。

    SecuRemote 機能:外部から内部ホストに暗号化によって、安全にアクセスを許す機能であ
    る。外出先からでもダイアルアップ接続で、アクセスできることになる。 Windows 用のソ
    フトが用意されているので、それをインスト−ルして使う。 Windows NT の RAS アクセス
    の利用も含めて、うまいリモ−ト接続のやり方を考えたい。

    GUIクライアント:FireWall-1 を入れたホスト以外の Windows パソコンで、 fwui に
    相当する操作をできるようにするものだと思う。そうであれば、ファイアウォ−ルのホス
    トなどを鍵管理した別室に置いておき、手元のパソコンでログを見たりできるのでないか。

    HTTP Authentication Proxy 機能:マニュアルの説明をそのまま載せる。 "外部から単一
    の URL によるアクセス方法を提供し、 ユ−ザ認証と組織内の複数のサ−バにリダイレク
    トする HTTP Authentication Proxy 機能"。内部ネット内のイントラネットWWWサ−バ
    に外部から、http://web.nix.co.jp/inner1/ というようにアクセスができる。

    ftp の扱い: 内部ネットのホストから普通の ftp コマンドで外部にアクセス可能である。 
    FireWall-1 はこの場合 ftp の 透過的 Proxy サ−バとして働くようになっている。問題
    はファイル転送の際に、相手ホストからコネクションを張ろうとすることである。ただの
    ftp ではこのためにポ−トを全部開けておくのだが、 FireWall-1 は動的に転送用ポ−ト
    を管理する。つまり通常はポ−トは全て閉じておいて、ポ−ト開設の要求を監視する。


  (2) FireWall-1 の設定方法   ( Solaris 2.5.1 で FireWall-1 Ver.2.1 をインスト−ル )

   * 設定手順

    1) ライセンスパスワ−ドを取得する。
    2) OpenWindows を立ち上げる。# openwin コマンドを入れる。
    3) FireWall-1 管理GUI # cd /etc/fw/bin;fwui & を起動する。
    4) "Network Object Manager" で Network Object を作成する。
    5) "Rule Base Editor" でル−ルを設定する。
    6) IPアドレス変換をする場合は # /etc/fw/bin/fwxlconf で設定する。
    7) OpenWindows を終了させて logout もしておく。


   * ライセンスパスワ−ドを取得する

    必要事項を記入してメ−ルでもファックスでもいいが、先にライセンスパスワ−ドを申請
    しなればならない。これは FireWall-1 をインスト−ルする際に必要となる。Solstice -
    FireWall-1 Release 2.1 の場合、"Installation and Configuration Guide" の P.56 に
    書式が、P.55 にメ−ルの送り先アドレスが記載されている。Solstice の国内の場合では
    licence@rrd.co.jp に送る。自分が申請した時は1時間ぐらいでメ−ルの返事(パスワ−
    ド)が返ってきた。どうも相手はメ−ルの内容を目で確認しているようだ。記載要領はと
    もかく必要事項を記入さえしておけばいいようである。

    ---------------------------------------------------------
    |    Licence Password Request
    |
    |Contact Name    日の丸太郎
    |Company Name    NIX Corp.
    |Job Title       FireWall-1 の設定
    |Mailing address        
    |City            名古屋      State         愛知県
    |Country         日本        Postal Code   494-12   << 例えばこんな様。
    |Telephone       052-xx-xxxx
    |Fax             052-xx-xxxx
    |email           taro@nix.co.jp
    |Check way to send licence password(s)   Email
    |
    |Product Serial Number        1245  0985  8849  5341 \ あらかじめ調べておく。
    |Hostid of maichine product   89HEDS001               |IPアドレスもホスト
    |IP Address                   192.9.201.1             |名も決めておくこと。
    |Hostname                     hostx                  /
    |Solaris 2.3 or later
    |Hardware: Sparc


   * "Rule Base Editor" での設定

    -----------------------------------------------------------------------------
    |  Rule Base Editor : /etc/fw/conf/default.W                                |
    |---------------------------------------------------------------------------|
    |  File    Rule    Policy   Routers   Utilities   Properties                |
    |                                                                           |
    |Windows: □Network Objects  □Users  □Services □System View □Log Viewer |
    |                                                                           |
    |----------------------------------------------------------------------     |
    ||No.|  Source | Destination | Services | Action | Track | Install On |     |
    ||---|---------|-------------|----------|--------|-------|------------|     |
    || 1 |  Any    |  Any        |  Any     | accept |       |  gate      |     |
    || 2 |  Any    |  webhost    |  Any     | drop   | long  |  gate      |     |
    |----------------------------------------------------------------------     |
    |                                                                           |
    -----------------------------------------------------------------------------

    メニュ−の [Rule] でフィルタリングするル−ルの追加や削除を行う。ル−ルの設定項目
    は、"Source" でどのホストから、"Destination" でどのホストへ、"Services" はどんな
    プロトコルを、 "Action" で通すか拒否するか、"Track" でログを出すか、"Install On" 
    でこれらのル−ルをどのホストに適用するか記述する。

    ル−ルの追加を [Rule] で指示すると、先ず Any となっている。 変更するにはマウスの
    右ボタンを押すとGUIで選択できるメニュ−が現われるので、それをプッと選べだけで
    ある。だいたいどんなメニュ−でも操作は同じである。簡単なのでさわって覚えること。

    ル−ルを実際適用させるには、[Policy]→[Verify] でル−ルが正しいか、 かちあってい
    ないか先ず調べてみる。ル−ルは1番から適用されるので、細かな設定ル−ルを先にもっ
    てくることが肝心である。次に [Policy]→[Install] をすると、 ル−ルがコンパイルさ
    れる様子がGUIで表示される。これでOKである。

    ホストはホストをまとめたグル−プ、ネットワ−ク、ドメインでも指定できる。基本は個
    々のホスト指定である。Services は Netscape だけを使うユ−ザだけなら、 Any でなく
    http、dns、ident ぐらいでよい。 この項目はプロトコルのメニュ−が画面一杯に出てく
    る。Inetrnet Phone も入っている。"Install On" は通常 FireWall-1 を入れたホスト1
    つだけの指示である。


   * Network Object の作成

    "Rule Base Editor" の "□Network Objects" マネ−ジャで、 FireWall-1 の管理下にお
    きたいホストを登録する。下の例は FireWall-1 をインスト−ルしたゲ−トウェイ・ホス
    ト用の設定である。その他の内部ネットのホストはたいてい  "Location : [Internal]"、
    "Type: [Host]、FireWall-1: [Not Installed] を指定することになる。

    "Network Interfaces" 部は、ファイアウォ−ル・ホストにのみ記述すればよい。 ここの
    "Spoof Track"、"Valid Address" は少し注意しなければならない。 偽造パケットを通さ
    ないようにするための設定である。ここでいう偽造パケットは、内部ホストのIPアドレ
    スをもった外からのパケットのことである。

    "Spoof Track" は偽造パケットが来たら、警告などを出す設定。"Valid Address" は正し
    い有効とするネットワ−クアドレスを記入する。 hme0 の "localnet" 指定は hme0 イン
    タ−フェ−スに接続している、内部ネットワ−クのホストからのパケットのみ有効とみな
    すことを意味する。もう一段下にネットワ−クがあった場合、それらのホストのパケット
    は FireWall-1 で拒否されることになる。

    もう一つ "Valid Address" で指定できるのは1個だけである。 ネットワ−クのセグメン
    トが幾つもあると困ってしまう。その場合は Network Object のホストをまとめてグル−
    プ1つにしてしまう。他、ドメイン名やネットワ−ク全体とか色々やり方はあるみたいだ。


    -------------------------------------------------------------------------------
    |                   Host Properties                                           |
    |-----------------------------------------------------------------------------|
    |          Name: hostG                      << 管理下におくホスト名。         |
    |    IP Address: 2O2.241.128.2              << hostG の外向きのIPアドレス。 |
    |    Location  : [Internal]   External                                        |
    |          Type: Host         [Gateway]     << 文字通りゲ−トウェイ。         |
    |    FireWall-1: [Installed]  Not Installed << FireWall-1 をこのホストに      |
    |   Information:                               インスト−ルした。             |              
    |  Auth Schemes: No Authentication Scheme Supported                           |
    |       |                                                                     |
    |                                                                             |
    |           (Apply)     (Reset)                                               |
    | --------------------------------------------------------------------------- |
    |           Network Interfaces                                                |
    |                                        Spoof      Valid                     |
    |   Name    Net Address     Net Mask     Track     Address                    |
    |                                                                             |
    | 1. le0   2O2.241.128.0  255.255.255.0   ▽ L    ▽ Others     << 外側ネット |
    | 2. hme0  192.168.1.0    255.255.255.0   ▽ L    ▽ localnet   << 内側ネット |
    -------------------------------------------------------↑----------------------
                                                           |
                ここの意味がよく分からなかったり、セグメントを増やした時はとりあえず
                Any としておく。IPアドレスを偽造したパケットを防止する働きである。

                                                                           
   * IPアドレス変換の設定

    FWXT_HIDE などの意味さえ分かっていれば、設定操作は簡単である。 メニュ−の (3) か
    ら (6) は普通関係ない。 通常は (1) のメニュ−で FWXT_HIDE だけ使えば素直な変換設
    定はできる。

    # cd /etc/fw/bin
    # ./fwxlconf

            FireWall-1 Address Translation Configuration
            ============================================

    +---+---------------+---------------+-----------------+---------------+
    |No.| From Original | To Original   | Method          | 1st Translated|
    |   | Address (Port)| Address (Port)|                 | Address (Port)|
    +---+---------------+---------------+-----------------+---------------+
    | 0 |192.9.200.1    |192.9.200.5    |FWXT_HIDE        |192.10.200.1   |
    | 1 |192.9.201.5    |192.9.201.8    |FWXT_HIDE        |192.10.200.1   |
    +---+---------------+---------------+-----------------+---------------+

    Interfaces : All

    Hosts : All

    Which of the following do you want ?
    (1) Add/Change a translation entry      << ほとんどここだけ使う。
    (2) Delete a translation entry
    (3) Add interface
    (4) Delete interface
    (5) Add host
    (6) Delete host
    (7) Save configuration                  << 設定をセ−ブする。
    (8) Restore configuration from Disk
    (9) Quit
    
    Enter your selection (1-9/a) : 


   * IPアドレスの変換機構

    変換指示は /etc/fw/bin/fwxlconf コマンドで設定することになっている。設定ファイル
    は $FWDIR/conf/xlate.conf にできる。変換モ−ドは4つあり、以下3つを説明する。も
    う1つはポ−ト番号も対象にする FWXT_DPORT_STATIC である。 定義できる変換ル−ルの
    数は20個までである。内部のネットワ−クが細切れになっていたり、IPアドレスがば
    らばらについていたりすると、FWXT_HIDE の指定が足らなくなってしまうかも知れない。

    [ FWXT_HIDE ]
        192.9.200.1  192.9.200.10   FWXT_HIDE   200.10.10.1

        内部ホスト 192.9.200.1〜10 のIPアドレスを 200.10.10.1 に変換する。
        200.10.10.1 のホストがゲ−トウェイとすると、内部ホストの Proxy サ−バと同じ
        働きとみなしてよい。通常のインタ−ネットユ−ザ用である。

    [ FWXT_SRC_STATIC ]
        192.9.200.1  192.9.200.10   FWXT_SRC_STATIC   200.10.10.1

        内部ホスト 192.9.200.1〜10 のIPアドレスを 200.10.10.1〜10 に変換する。
        内部ホストのIPアドレスはプライベ−トアドレスで、変換先のIPアドレスは
        仮想的にバリアネット上にあるパブリックアドレスのホストとみなすことができる。

    [ FWXT_DST_STATIC ]
        200.10.10.1  200.10.10.10   FWXT_DST_STATIC   199.9.200.1

        ちょうど FWXT_SRC_STATIC の逆の働きをする。SRC が内から外への変換なら、DST
        は外から内への変換である。これらはペアで用いることになる。


Fig. b31

    注.FireWall-1 Ver.2.0 の英文マニュアル P.181 に誤りがあると思われる。 Table 9-1
        の Number 1 で、FWXT_DST_STATIC 10.0.67.0 は 10.0.0.1 が正しいように思う。


  (3) FireWall-1 その他ポイント

   * 手動起動と停止    (Solaris 2.5.1 での話し)

    # cd /etc/fw;ls -F
    bin/       conf@      doc/       log@       modules/   tmp@
    cisco/     database@  lib/       man/       state@     well/

    # cd bin;ls 
    alert         fwconfig      fwm           in.aclientd   snmpd
    funcchain     fwcpp         fwstart       in.aftpd      status_alert
    fw            fwd           fwstop        in.ahttpd
    fwc           fwell         fwui          in.atelnetd
    fwcisco       fwinfo        fwxauth       snauth
    fwcomp        fwlv          fwxlconf      snmp_trap

    # ./fwstop              << FireWall-1 をストップさせる。
    # ./fwstart             << FireWall-1 を再スタ−トさせる。


   * 自動起動

    FireWall-1 をインスト−ルすると /etc/init.d と /etc/rc3.d にスタ−トアップ・スク
    リプトが入る。マシンをリブ−トすれば自動的に FireWall-1 は起動する。

    /etc/init.d/firewall1       この記述 Version 3 でも同じだった。
    ----------------------------------------
    |#!/bin/sh
    |if [ -f /opt/SUNWfw/bin/fwstart ]; then
    |       FWDIR=/opt/SUNWfw
    |       export FWDIR
    |       /opt/SUNWfw/bin/fwstart
    |fi

    /etc/rc3.d/S95firewall1 も同じ内容だった。ハ−ドリンクに多分なっているのだ。
    
    [ プロセスの確認 ]

    # ps -e             # ps -ef                               
       PID .. CMD            UID   PID  PPID  C .. CMD         
       179 .. fw            root   179     1  0 .. fwd         
       181 .. fw            root   181   179  0 .. alertd -A -l
       182 .. fw            root   182     1  0 .. snmpd       
       184 .. fw            root   184     1  0 .. fwm         


   * FireWall-1 その他特徴

    ・"□Log Viewer" でパケットを選択して表示することはできない。---  Windows パソコ
      ンをつないでいると RIP 相当のパケットが定期的にやってくる。 こんなものログで見
      たくもない。 "Rule Base Editor" でパケットを明示的に落とすようにル−ルを追加し
      て、ログをとらないようにするしかない。

    ・"□Services" で https など入っていないサ−ビスを定義できる。--- 追加は簡単であ
      る。https の場合は TCP で 443 番と指定するだけでOK。

    ・"□Network Objects" はグル−プのグル−プを作ることができる。--- これは便利だし、
      グル−プ化して1個にしないと FireWall-1 の設定で困る場合がある。

    ・FireWall-1 が停止したら IP forwarding off (IPパケットをゲ−トウェイとして通
      過させない)にする設定ができる。

    ・"Rule Base Editor" の "Install On" には、 パケットの方向性も追加指定することが
      できる。これでよりきめの細かいフィルタリングができる、

    ・fwui コマンドが効かない時は、/etc/fw/log/manage.lock ファイルを rm してみる。

    
   * ファイアウォ−ルホストの安全対策

    ・FireWall-1 が停止したら IP forwarding off にするよう設定する。
    ・inetd や nfs など危険なデ−モンを稼働させないでおく。
    ・リブ−トしても inetd や nfs などが起動しないように初期設定しておく。
    ・root ユ−ザにパスワ−ドを設定し、一般ユ−ザを作らないようにしておく。
    ・外部から FireWall-1 ホストにアクセスできないようル−ル設定しておく。
    ・不正アクセスのログをとり、管理者に警告を出すようしておく。
    ・Inetrnet Phone など評価の定まっていないのは、できればル−ルに入れない。


   * FireWall-1 のル−ル記述のポイント

    -----------------------------------------------------------------------------
    |  Rule Base Editor : /etc/fw/conf/default.W                                |
    |---------------------------------------------------------------------------|
    |  File    Rule    Policy   Routers   Utilities   Properties                |
    |                                                                           |
    |Windows: □Network Objects  □Users  □Services □System View □Log Viewer |
    |                                                                           |
    |-------------------------------------------------------------------------- |
    ||No.|  Source | Destination | Services     | Action | Track | Install On | |
    ||---|---------|-------------|--------------|--------|-------|------------| |
    || | |   |     |     |       |      |       |   |    |   |   |     |      | | 
    || 5 |  hostC  |  gate       | Any          | accept |       |  gate      | | 1)
    || 6 |  Any    |  gate       | Any          | drop   | short |  gate      | | 2)
    || 7 |  Any    |  Any        | Any          | drop   | short |  gate      | | 3)
    |-------------------------------------------------------------------------- |
    -----------------------------------------------------------------------------

    注.1) hostC だけファイアウォ−ル・ホストにアクセスできるようにする。他のマシンか
          らメンテナンスする場合、telnet や ftp コマンドが使えるようにする。

       2) どこからもこのファイアウォ−ル・ホストに、アクセスできないようにする。何か
          アクセスがあったら、短い記録 short を残す。このル−ルは必ず設定すること。

       3) 明示されていないル−ルのパケットは全て遮断する。このル−ルも必ずル−ルの最
          後に設定すること。1) のル−ルは普段設定しない方がいいかも。


  (4) FireWall-1 Version 3 について  '99/07

   * 変わったところ

    Solaris 2.5.1 の FireWall-1 Ver.2.1 と Solaris 2.6 の FireWall-1 Ver.3.0b との違
    いである。特に大きな違いはないといってよい。 コマンド類は /etc/fw/bin に変わらず
    入っているし。fwstart も fwstop もそのままである。ル−ル設定の fwui も使える。違
    ったことといえば、fwpolicy というコマンドが新たにできたことである。 そしてIPア
    ドレス変換の設定をしていた fwxlconf は使わないようになったことである。IPアドレ
    ス変換ル−ルの記述は fwui か fwpolicy でやるようになっている。小生はIPアドレス
    変換とオブジェクトの設定は fwpolicy でやり、ル−ルの設定は fwui でやってみた。ど
    ちらも似たような画面だが、ル−ル設定は fwui の方がやりやすかった。

    バ−ジョンアップ時の注意点を少し。先ずはバ−ジョンアップ用のライセンスを前もって
    申請し、取得しておく必要がある。以前はホストIDでしかとれなかったが、今はIPア
    ドレスでもとれる。IPアドレスの方がいいと思う。前のようにマシンの番号で管理され
    たんでは自由度がなくて困ってしまう。さて、バ−ジョンアップ作業をするとル−ルが白
    紙になってしまう。バ−ジョンアップする前に、 Rule Base Editor でル−ルをファイル
    に落としておき、あらたに読み込むようにする。ただし、これはあくまでも前のバ−ジョ
    ンが入っている状態でのバ−ジョンアップの話しである。Ver.3 を新規インスト−ルする
    場合は、ル−ルベ−スは最初から設定しなければならない。

    fwxlconf と fwpolicy についてもう少し。 Ver.3 になって fwxlconf は使えないことは
    ないが、あまり使わないでくれということになった。一応コマンドはあるが、前のように
    IPアドレス変換のリストは出て来ない。まあ使わないということである。 fwpolicy は
    コマンドをたたくと管理者の認証画面が出るようになっている。  管理者は fwconfig の 
    "(2) Administrators" で登録する。 fwpolicy を動かすには X-Motif GUI の SUNWfwgui
    もインスト−ルしておく必要がある。CTC発行のテクインフォ 1998.7 VOL.14, P.55〜 
    "Solstice FireWall-1 のアドレス変換" に関連する記事が載っているので見られたい。


   * 内部ネットのマシンの追加

    # cd /etc/fw/bin    ホスト名 web、IPアドレス 192.9.201.10 というマシンを追加す
    # ./fwui            るとして fwui で登録する。代表IPアドレスは 192.10.200.1 と
    # ./fwpolicy        し、fwpolicy でIPアドレス変換の設定を行うこととする。

    --------------------------------------------------------------------------------
    |                 FireWall-1 Security Policy - Standard                        |
    |------------------------------------------------------------------------------|
    | File  Edit  View  Manage  Policy  Window  Help                               |
    ||Security|Address Translation|                                             |
    |------------------------------------------------------------------------------|
    |No|    Original Packet   |   Translated Packet      |Install On|   Comment    |
    |  | Source  Dest Service | Source   Dest   Service  |          |              |
    |--|----------------------|--------------------------|----------|--------------|
    |                                                                              |
    |--|----------------------|--------------------------|----------|--------------|
    |25| □web  @Any  @Any  | □web =Original =Original| Gateways |Automatic rule|
    --------------------------------------------------------------------------------

    画面がともかく出たら|Address Translation|の方をクリックする。 そしてル−ルベ−
    スの最後にマシンを追加することにする。 [Edit]->[Add Rule]->[Bottom] とクリックし、
    最後に空ル−ルの列を先ず作成する。一応25番とする。ちゃんと設定したのが上の状態
    である。設定はこの列をクリックして下のような画面を出してやっていく。基本的な設定
    では|General|と|Address Translation|のとこだけである。そしてル−ルを反映させ
    るため、[Policy]->[Verify] やってル−ルのチェックをし、[Policy]->[Install]で有効
    になる。これらの操作は別に難しくない。マウスを持って適当にクリックしていればだい
    たい分かってくる。銭出してやってもらうと、こんなんでもうん十万取られるぞ。恐れず
    に自分でやってみよう。
                                                               
    ----------------------------------------------
    |        Workstation Properties              |
    |--------------------------------------------|
    ||General|Interfaces|Authentication|     |
    ||SNMP|Encryption|Address Translation|   |
    |                                            |
    | Values for Address Translation             |
    |                                            |
    | 〆 Add Automatic Address Translation Rules |  << ここチェック 〆 すること。
    | Translation Method: Hide▼                 |  << Hide の他は Static がある。
    | Hiding IP Address : 192.10.200.1           |
    ----------------------------------------------


   * 製品群

    FireWall-1 は 2.x 代ですでに製品の種類がいろいろあり分かりにくかった。3.x 代にな
    って、ますます分かりにくくなっている。名称も変わっており、自分が今どれを使ってい
    るかさえよく分からない。ともかくファイアウオ−ルは1個で、VPNもなしで、内部ネ
    ットのIPアドレスの個数が50以上ならば、Sun の今の Solstice シリ−ズでは次の製
    品になる。価格は約で単位は万円である。 値段は Version 2.1 に較べちょっと上がって
    いるようである。99年8月、Sun では Solstice としては FireWall-1 の販売を止めた
    らしい。Version 4 がいつまでたっても Sun から出ないのでおかしいと思っていた。 

                  Version 3.0              | 価格 |        Version 2.1
        -----------------------------------|------|---------------------------
        Internet Gateway-50                |  75  |  Light Security Center
        Internet Gateway-100               | 120  |  なかった
        Internet Gateway-250               | 150  |  Medium Security Center
        Internet Gateway-Enterprise Center | 285  |  Internet Security Center

    Inspection Module とか FireWall Module というのは、 複数 FireWall-1 を導入する場
    合の話しだと思う。複数の FireWall-1 を一括して制御するのが Enterprise Management 
    Console だと思う。VPNもやりたければ VPN Encryption Module、約100万円を追加
    する。Cisco などのル−タを FireWall-1 から設定したければ、 Single Router Control
    Module、約30万円を追加する。製品にはこれらを含めたのもあるわけだ。なんてややこ
    しい。ライセンス数を上げる場合はどうなる。多分 "トレ−ドアップ" がそうだと思うが、
    50IPアドレスを100にするには60万円、250にするには90万円である。


   * おかしかったらやること

    FireWall-1 Ver.3.0b をインスト−ルしたところ、何かメッセ−ジがコンソ−ルに頻繁に
    出るようになった。ワ−ニングのメ−ルを送ろうとしているみたいだし、別にファイアウ
    ォ−ルとしての機能は問題はなさそうなのだが、気持ちが悪い。メッセ−ジには外部イン
    タ−フェ−スがおかしいというのがあった。どうも /etc/fw/conf/external.if ファイル
    をちゃんと記述しなければいけないらしい。これは管理コマンドの fwconfig で設定する。
    以下のようにやると external.if ファイルには le0 とだけ書かれ、メッセ−ジは出なく
    なった。external.if ファイルは最初なかったように思う。

    # cd /etc/fw/bin
    # ./fwconfig
    Welcome to FireWall-1 Configuration Program
    ===========================================
    This program will let you re-configure your FireWall-1 configuration.

    Configuration Options:                        インタ−ネットへ
    ----------------------                               |
    (1)  Licenses                                        |
    (2)  Administrators                     -------------------            
    (3)  GUI clients                                |
    (4)  External Interface                         | le0 : 2O2.241.128.2
    (5)  Security Servers                       ----*---- 
    (6)  Groups                                 | hostG | FireWall-1 
    (7)  IP Forwarding                          ----*----
    (8)  Default Filter                             |
    (9) Exit                                ------------------- 内部ネット

    Enter your choice (1-9) :4

    Configuring External Interface...
    =================================
    The External Interface is one of the FireWalled host's interfaces
    that is connected to an external network. Hosts that are located
    on the external side of the FireWall will not be counted as
    protected hosts for the License Enforcement mechanism.
    
    Please enter external interface name: le0

    External Interface Configured successfully

    Configuration Options:
    ----------------------
    (1)  Licenses
        |
    (9) Exit

    Enter your choice (1-9) :9          << fwconfig コマンドを終わる。

    You have changed FireWall-1 Configuration. Would you like to restart
    FireWall-1 now so your changes can take into action? (y/n) [y] ? 
    FW-1:  Starting fwd                 << y にするとリブ−トする。
    fwd:   FireWall-1 server is running
    FW-1:  Starting snmpd
    snmpd: Opening port(s): 161 Cannot bind: Address already in use 260 
    SNMPD: server running
    FW-1:  Starting fwm (Remote Management Server)
        |
    Using external interface 'le0'      << 外部インタ−フェ−スは le0 となっている。
        |


   * DMZ 構成の模擬テスト  `02/10/14 検討

             仮想的にここにある        :
         hostA'□                      □ Router
               |.3   202.241.128.0    |.1             ※ hostA,G,B は Solaris 2.6
          ---------------------------------- 
                     |    hostA □ WWW,DNS,Mail_Gateway      
               .2 le0|       |.1              
          FireWall-1 □---------------   hostB           hostC
          hostG    .2|.2  192.168.2.0   □ Mail-Server  □
                     |                  |.1            |.3
          ------------------------------------------------------ 192.168.1.0   

    ファイアウォ−ルのホスト hostG が、hostA' のIPアドレスを代理で答えるようにする。
    hostG に Proxy ARP の設定をする。hostG の le0 インタ−フェ−スのMACアドレスが 
    00:05:04:a2:00:01 とすれば hostG # arp -s 202.241.128.3 00:05:04:a2:00:01 pub と
    設定する。ホストのMACアドレスは # arp -a で出てくる。 次に実際の hostA への静
    的経路を設定する。hostG # route add 202.241.128.3 192.168.2.1 1 である。うまく行
    ったら /etc/rc2.d/S72inetsvc にこの経路情報を記述する。 arp の設定もどこかスタ−
    トアップ・ファイルに書き込んでおかないかんな。S72inetsvc でいいか。 ただし、ここ
    までは紙上のシュミレ−ションである。

    実際、確認テストは FireWall-1 Ver.3.0 で、DMZ ではない現状のままネットワ−ク構成
    で行なった。その結果、hostA のWWWサ−バには、 外から 202.241.128.3 でちゃんと
    アクセスできた。しかし内部のホストからは、このIPアドレスではアクセスできなかっ
    た。ping も反応しなかった。なぜかはよく分からない、 以下 FireWall-1 の設定を示す。
    その後追記:DMZ 構成で DMZ ネットワ−クに hostA を置くのは、ちゃんと機能した。そ
    れを内部ネットワ−クにホストをおき、仮想的にバリアネットワ−ク上にあるとするのは、
    やはり内部からは ping 始め、ドメイン名など HTTP アクセスはできなかった。どうも仮
    想的におくのは、DMZ 上にホストを置く場合だけ有効に働くのでないのか。

    ------------------------------------------- 
    |   Workstation Properties                | hostA はこのテストでは、実際は別に立
    |-----------------------------------------| ち上げたWWWサ−バのみのホストであ
    |       Name: hostA                       | る。バリアセグメントには Windows 98 
    | IP Address: 192.168.2.1                 | をつなぎ、外からWWWアクセスの確認
    |   Location: [Internal] External         | とした。またhostG が代理応答するかの
    |       Type: [Host] Gateway              | 確認のため、FireWall-1のル−ルベ−ス
    | FireWall-1: Installed [Not Installed]   | に hostG への echo-reply, request を
    | Addr. Translation: Static, 202.241.128.3| 追加許可したりもした。
    |   |                                     | 
    -------------------------------------------
    ------------------------------------------- 今回設定は /etc/fw/bin/fwui コマンド
    |   Host Address Translation Props        | でやった。 fwpolicy は設定を見ただけ。
    |-----------------------------------------| ル−ルに追加したのは1行だけ。肝心の
    |〆Add Automatic Address Translation Rules| hostA のIPアドレス変換は STATIC 指
    |  Translation Method: ▽Static           | 定にする。Ver.2.x ではIPアドレス変
    |  Valid IP Address  : 202.241.128.3      | 換の設定は fwxlconf でやったが、 3.x
    |    (Apply)   (Reset)                    | では使わないことになった。
    -------------------------------------------
    -----------------------------------------------------------------------------
    |   FireWall-1 Rule Base Editor : /etc/fw/conf/Standard.W                   |
    |---------------------------------------------------------------------------|
    |  File    Rule    Policy   Routers   Utilities   Properties                |
    |                                                                           |
    |-------------------------------------------------------------------------- |
    ||No.|  Source | Destination | Services     | Action | Track | Install On | |
    ||---|---------|-------------|--------------|--------|-------|------------| |
    || 1 |  Any    |  hostA      | http         | accept |       |  Gateways  | | <<
    || 2 |  hostA  |  hostB      | smtp ident   | accept |       |  Gateways  | | 
    || 3 |  hostB  |  hostA      | smtp ident   | accept |       |  Gateways  | | 
    || 4 |  hostC  |  Any        | http dns(udp)| accept |       |  Gateways  | | 
    || 5 |  Any    |  hostG      | Any          | drop   | short |  Gateways  | | 
    || 6 |  Any    |  Any        | Any          | drop   | short |  Gateways  | | 
    |-------------------------------------------------------------------------- |
    -----------------------------------------------------------------------------


  (5) FireWall-1 Version 4 について  `02/12

   * バ−ジョンについて

    FireWall-1 の扱いがCTCから新日鉄情報通信システム( ENICOM )に移った。Ver.4.0は 
    '99/10 に ENICOM から来た。日本語ドキュメントの日付けを見ると  '98/09 となってい
    たが。次に Ver.4.1 が `02/11 頃来た。Check Point 2000( Version 4.1 SP1, 2000/01)。
    Enterprise Suite v.4.1 DES Edition というものである。実はこの間、FireWall-1 のグ
    レ−ドアップをおこなった。VPN対応にし、50 ノ−ドを 250 ノ−ドに上げることにし
    た。この Enterprise Suite v.4.1 DES Edition は、VPN対応にしたもので、ノ−ド数
    は 50 のままである。どうもライセンスの発行がえらく遅くなったようなのだ。以前は日
    本の Sun がやっていて、ものの10分で発行してくれた。それが今は、 アメリカでやっ
    ているということで、1ヵ月たってもライセンスが来ないのはざららしい。

    ライセンスはいきなりこれまでの Ver.3.0 から 4.1 に上げるという訳にはいかないらし
    い。先ずは Ver.4.0 のライセンスを申請し、次にそのライセンスでもって、VPN+250 
    のライセンスにアップする。そして Ver.4.1 のライセンスを申請する。 何んて繁雑な話
    し。VPN版購入に当たっては暗号化タイプを指定する。 FWZ, DES, Triple DES 版があ
    る。FWZ は FireWall-1 独自の暗号化方式で当初からある。 DES 版は実は FWZ も含んで
    いるということなので、選ぶのは DES 版でいい。ひょっとして、Triple DES 版をもう選
    んでんでもいいかも知れない。これには Triple DES と DES 版を含んでいる。 アメリカ
    の暗号化輸出規制は 128 bit も解禁したはずである。

    VPN-1 SecuRemote/50,100,... の数、これも購入する時に何ユ−ザ分にするか申請するの
    だと。何でかよくわからんが、適当に 250 でも何でも構わないらしい。SecuRemote を実
    際使う場合、SecuRemote クライアントの Windows パソコンで、ライセンスの設定とかは
    何もない。VPN対応の FireWall-1 を購入しておくだけでよい。SecuRemoteのライセン
    ス数は FireWall-1 本体側で管理している。さて、アップグレ−ド費用はいか程になるか。
    http://www.forval-c.co.jp/ の価格表を参考に計算してみた。Ver.3.0 50 ノ−ドを 4.1 
    VPN 250 へ。[希望の製品価格]−[現在の製品価格x80%] = 176 - (79x0.8) = 112.8 万円。
    2年目からの保守料金は 176*0.25 = 44 万円 となった。

    その後の追記。FireWall-1 をアップグレ−ドして1年経っての保守契約で、 疑問に思っ
    たことである。50ライセンスを250ライセンスのVPNにするのに、結果的に140
    万円ぐらい支払った、これには1年保守がついている。さて、まだこれまでの50ライセ
    ンスの保守も効いているわけだ。つまり保守料をダブって払っていることになるのでない
    か。一体どうなるのと窓口であるCTCに質問した。見解は FireWall-1 の保守というの
    は、アップグレ−ドなどができる権利を与えることである。だぶっているわけでないとい
    う。だから、経費をできるだけ節約しようと思えば、これまでの保守が切れる寸前にアッ
    プグレ−ドの手続きをするのがいいということになる。漠然と当初からダブっている?よ
    うな気がしていた。いろいろめんどくさい話があります。


    [ FireWall-1 V4.0 ]  '99/03/15〜 

        ノ−ド| 普通 |VPN対応 (万円)                               XX はノ−ド数
       -------|------|---------                                    
         25   |  49  |    55    250 までの普通の: FireWall-1 Internet Gateway/XX
         50   |  79  |    88    250 までのVPN: VPN-1 Internet Gateway/XX
        100   | 130  |   136    無制限の普通    : FireWall-1 Enterprise Center 
        250   | 160  |   176    無制限のVPN  : VPN-1 Enterprise Encryption Center
       無制限 | 300  |   320    

                                 
    [ Check Point 2000 の内容は ]

        Check Point 2000 ----- VPN-1/FireWall-1     << 従来のはこれだけだった。 先の
                           |-- FloodGate-1             バ−ジョンアップ価格 112.8 万
                           |-- Reporting Module        円は、この分だけである。
                           |-- Meta IP

   * メモ

    ・バ−ジョンアップ作業はどうする。やってもらうと4〜50万円はかかる。百万円なん
      見積りもってきた業者もいるぞ、ホスト系だけど。フォ−バルの講習に行って自分でや
      るか。2コ−スあって、2日ずつ。1コ−スだけだと20万円。両方申し込むと30万
      円である。案内は http://www.forval-c.co.jp/ を見られたい。 

    ・「CTCテクインフォ」'99/07 Vol.20, P.54〜57。FireWall-1 3.0/3.0b -> 4.0 への
      バ−ジョンアップのやり方が書かれている。パッチのお知らせが、新日鉄情報システム
      からメ−ルできた。Ver.4.0 のもので `02/07/25 に来ていた。これも必要みたい。

    ・VPNの暗号化はかなり負荷がかかるみたい。IPsec の暗号化用の専用ボ−ドとか別に
      売っていたりする。一説によるとパフォ−マンスは10分の1に落ちるとか。VPNを
      本稼働したければ、新しいマシンにした方がいいだろう。

    ・FireWall-1 の CD-ROM には全部のパッケ−ジが入っている。Windows 用と Solaris 用
      等の FireWall-1 が1枚 CD-ROM に入っている。ただしライセンスは Windows,Solaris
      といった区別はする。Solaris 用で購入したのを Windows NT に入れることはできない。

    ・ライセンスの申請だがIPアドレスにして、内部ネットワ−クのプライベ−トIPアド
      レスで申請できないか。できない、`21/07/05 ノキア・ジャパンの人に確認した。もし
      できるなら後々、プロバイダを変える時に都合がいいのだが。

    ・OPSEC( Open Platform for Security )というのも Check Point は提唱している。他の
      セキュリティ関連製品と連携できる。http://www.checkpoint.co.jp/opsec/。RealScan
      だったか、異常を FireWall-1 に知らせ全パケットをはねるようにするとか。

    ・Ver.4.0 からの特徴を列記。IPsec, SKIP, X.509, IKE, LDAP をサポ−ト。NetShow や
      H.323 アプリの NetMeeting などを完全に NAT でサポ−ト。他 RealAudio, QuickTime, 
      DOM, IIOP にも対応。Linux の RedHat 用もでき販売を始めている。

    ・FireWall-1 のル−ルをファイルに落として、 バ−ジョンアップするのはやや不安定と
      言うか、信頼性があまりないのだと。バ−ジョンアップの際は、再度ル−ルを手入力し
      た方が無難ということだ。

    ・Ver.4.1 では fwui コマンドはなくなった。fwpolicy で全部設定する。 コマンドは以
      前と同じ /etc/fw/bin にある。fwpolicy を起動すると "Check Point Policy Editor"
      という画面が出て来る。アドレス変換はオブジュクト個々に設定するようになった。

    ・Ver.4.1 では fwconfig もなくなり、cpconfigになった。他 LANG=C でないとGUIの
      表示がおかしくなる。Solaris 2.6, FireWall-1 Ver.4.1 で FireWall-1 のログ画面を
      出していると、マシンの反応が鈍くなって一時止まってしまうことがある。

    ・IPアドレスの範囲でアドレス変換するやり方が、Ver.4.0 から無くなったと思ってい
      た。Ver.4.1 の [Manage]->[Network Objects]->[New] で、Address Range というオブ
      ジェクトがある。これでできる。他 Workstation, Network, Group 等いろいろある。

    ・HTTPセキュリティサ−バの非透過ユ−ザ認証。外から内部WWWサ−バにアクセスする。
      /etc/fw/database/objects.C の prompt_for_destination が trueも確認した。ル−ル
      ベ−スの Action を UserAuth に、WWWサ−バの論理名も定義した、うまくいかない。

    ・ウィルスチェックの InterScan VirusWall、 FireWall-1 と連携できるという触れ込み
      だがこの時点では実はダメだった。この連携機能、Check Point 社が標準化を提唱して
      いる CVP( Content Vectoring Protocol ) という。今のところ絵に描いた餅である。

    ・`22/05 CVP について確認。まだ、うまく連携して働かないということである。HTML コ
      ンテンツもウィルスチェックしないと、まずいのだが。Internet Explorer で見るだけ
      で感染するというウィルスも出て来る始末。とりあえず IE は使わないでおくか。

    ・「CTCテクインフォ」 2002/03, Vol.36, P.15、アドレス変換及びポ−ト変換したい、
      ポ−ト変換を Address Translation ル−ルベ−スで手動で定義する。2002/05, Vol.37, 
      P.13。内部ネットの Client 端末がDMZにアクセスするのにNAT変換せず、そのま
      まアクセスしたい。2002/07, Vol.38、Anti Spoofing の設定

    ・内部ホストから外へ traceroute が FireWall-1 のデフォルトのままでは外へ行かない。
      [udp-high-ports] サ−ビスを外ヘの通過を許可すること。このサ−ビスは UDP ポ−ト
      1024-65535 番のパケットを対象とする。

    ・「CTCテクインフォ」2002/01,Vol.35。FireWall-1のル−ル作成のポイント。ル−ル
      は若い番号から適用されていき、若い番号のル−ル程スル−プットは高い。それ故よく
      使用するプロトコルは前の方に、頻度の少ないのは後の方に記述すること。本当?。


   * Ver.4.1 50 から 250 へのアップ  `21/03
                                                 
    ライセンスをアップしてみる。Version 4.1 の250ノ−ド・ライセンスがしばらく前に
    来ていた。自分で入れてみることにした。ライセンスはメ−ルの添付ファイルで3つきた。
    本体のライセンスのメ−ルの内容を下に記す。別に難しいことはない。fw putlic をやる
    だけである。

    ---------------------------------------------------------------------------
    |> Request Details
    |> ---------------
    |> Certificate Key:    DDDD CCCC BBBB
    |> Product:            CPVP-VIG-250-DES-V41 (l nodes.)
    |> Version:            4.1
    |>
    |> Customer Name:      NIX CORPORATION
    |>
    |> License Issued
    |> --------------
    |> Expiration Date:    never
    |> Host ID:            0x88888888
    |> Features:           cpvp-vig-250-des-v41 CK-XXXXXXXXXXXX
    |> License String:     XXXXXXXXX-XXXXXXXXX-XXXXXXXXX-XXXXXXXXX 
    |>
    |> License Installation                   
    |> --------------------                       
    |> Run 'fw putlic 0x88888888 never XXXXXXXXX-XXXXXXXXX-XXXXXXXXX-XXXXXXXXX
    |cpvp-vig-250-des-v41 CK-XXXXXXXXXXXX'
    |   |

    # cd /etc/fw/bin    << 現在のライセンス状況を確認する。
    # ./fw printlic
    This is Check Point VPN-1(TM) & FireWall-1(R) Version 4.1 (12Mar2001 18:56:38)

    Host             Expiration Features
    202.241.177.66   Never      cpfw-motif-1-v41 CK-YYYY...
    202.241.177.66   Never      cpfw-fig-50-v41 CK-ZZZZ...

    [ ライセンスをインスト−ルする ]

                Host ID   有効期限  License String  Features  
                   ↓        ↓      ↓               ↓
    # ./fw putlic 0x88888888 never XXXX cpvp-vig-250-des-v41 CK-ZZZZ...
    # ./fw putlic 0x88888888 never XXXX cpfw-motif-1-v41 CK-YYYY...
    # ./fw putlic 0x88888888 never XXXX cpvp-vsr-250-v41 cpvp-vsr-250-v41 CK-XXXX...

    [ FireWall-1 を再起動する ]

    # ./fwstop
    Unloading FireWall-1...
    Uninstalling Security Policy from all.all@fire
    Done.

    # ./fwstart
    FireWall-1: Starting fwd
    FireWall-1:  Starting fwm (Remote Management Server)

    FireWall-1: Fetching Security Policy from localhost
    Trying to fetch Security Policy from localhost:
    
    Installing Security Policy Standard on all.all@fire
    Using external interface 'hme0'
    Fetching Security Policy from localhost succeeded

    FireWall-1: Starting cpmad (Malicious Activity Detection)
    FireWall-1 started


    # ./fw printlic     << ライセンス状況を確認する。ライセンスが追加されている。
    This is Check Point VPN-1(TM) & FireWall-1(R) Version 4.1 (12Mar2001 19:03:14)

    Host             Expiration Features
    ID-88888888      Never      cpvp-vsr-250-v41 cpvp-vsr-250-v41 CK-XXXX...
    ID-88888888      Never      cpfw-motif-1-v41 CK-YYYY...
    ID-88888888      Never      cpvp-vig-250-des-v41 CK-ZZZZ...
    202.241.128.2    Never      cpfw-motif-1-v41 CK-YYYY...
    202.241.128.2    Never      cpfw-fig-50-v41 CK-ZZZZ...