IP パケット・フィルター・ファイアウォール

IP パケット・フィルター・ファイアウォールを使用すると、ネットワーク接続を介したトラフィックに関する一連のルール (廃棄するか受け入れるかのどちらか) を作成できます。

IP パケット・フィルター・ファイアウォールを使用すると、ネットワーク接続を介したトラフィックに関する一連のルール (廃棄するか受け入れるかのどちらか) を作成できます。 ファイアウォール自体は、このトラフィックに何の影響も与えません。 パケット・フィルターは自身に送られてきたトラフィックしか廃棄できないため、パケット・フィルターを使用するデバイスは、IP ルーティングを実行しているか、またはそのトラフィックの宛先でなければなりません。

パケット・フィルターには、受け入れまたは拒否のアクションを伴う一連のルールが定義されています。 情報のパケットを受け取ると、パケット・フィルターはそのパケットを事前構成されたルール・セットと比較します。 最初に一致したルールに従って、パケット・フィルターはその情報のパケットを受け入れるか、または拒否します。 ほとんどのパケット・フィルターの場合、そのルール・ファイルの一番下には暗黙的な「すべて拒否のルール」が定義されています。

パケット・フィルターは、通常は以下のものに基づいてネットワーク・トラフィックを許可または拒否します。
  • ソースおよび宛先 IP アドレス
  • TCP、UDP、または ICMP などのプロトコル
  • ソース・ポート、宛先ポート、および ICMP のタイプとコード
  • TCP ヘッダー内のフラグ (例えば、そのパケットは接続要求かどうかなど)
  • 方向 (インバウンドかアウトバウンドか)
  • そのパケットが全探索している物理インターフェース

すべてのパケット・フィルターは、「信頼性は IP アドレスに基づいて決める」という共通の判断基準を設けています。 このセキュリティー・タイプはネットワーク全体を対象とする場合には不十分ですが、コンポーネント・レベルではこのタイプのセキュリティーでも受け入れ可能です。

ほとんどの IP パケット・フィルターはステートレスです。これは、それらのフィルターは以前に処理したパケットについては何も記憶していないということを意味します。 状態を持つパケット・フィルターは、以前のトラフィックに関する情報の一部を保管できます。そのため、これらのフィルターの場合は、インターネットからは内部ネットワークから発信された要求に対する応答のみ許可するという構成が可能です。 パケットのヘッダー内のソース IP アドレスと ACK ビットは簡単に偽造できるので、ステートレスのパケット・フィルターはスプーフィングに対してぜい弱です。

IBM® i では、インターフェースおよびリモート・アクセス・サービス・プロファイルに対してパケット・フィルター・ルールを指定できます。IBM i で外部のパケット・フィルター・ファイアウォールまたはパケット・フィルター・ルールを使用していて、ユニバーサル・コネクション・データの受け渡しをこれらのフィルターを介して行っている場合は、フィルター・ルールを次のように変更して、IBM VPN ゲートウェイへの接続が許可されるようにする必要があります。

表 1. IBM VPN ゲートウェイのフィルター・ルール
IP フィルター・ルール IP フィルターの値
UDP インバウンド・トラフィックのフィルター・ルール VPN ゲートウェイ・アドレスに対してポート 4500 を許可
UDP インバウンド・トラフィックのフィルター・ルール VPN ゲートウェイ・アドレスに対してポート 500 を許可
UDP アウトバウンド・トラフィックのフィルター・ルール VPN ゲートウェイ IP アドレスに対してポート 4500 を許可
UDP アウトバウンド・トラフィックのフィルター・ルール VPN ゲートウェイ IP アドレスに対してポート 500 を許可
ESP インバウンド・トラフィックのフィルター・ルール VPN ゲートウェイ IP アドレスに対して ESP プロトコル (X'32') を許可
ESP アウトバウンド・トラフィックのフィルター・ルール VPN ゲートウェイ IP アドレスに対して ESP プロトコル (X'32') を許可
通信用に HTTP および HTTPS を使用するユニバーサル・コネクション・アプリケーションの場合は、フィルター・ルールを次のように変更して、IBM サービスの各種宛先に対する接続が許可されるようにする必要があります。
表 2. HTTP および HTTPS に関するフィルター・ルール
IP フィルター・ルール IP フィルターの値
TCP インバウンド・トラフィックのフィルター・ルール サービスのすべての宛先アドレスに対してポート 80 を許可
TCP インバウンド・トラフィックのフィルター・ルール サービスのすべての宛先アドレスに対してポート 443 を許可
TCP アウトバウンド・トラフィックのフィルター・ルール サービスのすべての宛先アドレスに対してポート 80 を許可
TCP アウトバウンド・トラフィックのフィルター・ルール サービスのすべての宛先アドレスに対してポート 443 を許可

フィルター・ルールの変更作業には、実際の IBM VPN ゲートウェイ・アドレスの指定も含まれます。 ポートおよびサービスが IP アドレス 207.25.252.196 (ボールダー) および 129.42.160.16 (ロチェスター) に対して開かれている必要があります。

また、HTTP トラフィックの場合、フィルター・ルールの変更の一環として、実際のサービス宛先アドレスの指定が含まれることがあります。
注: サービス宛先 IP アドレスおよびポートのリストは、ファイル /QIBM/UserData/OS400/UniversalConnection/serviceProviderIBMLocationDefinition.txt に含まれています。このファイルは、IBM サービス宛先へ接続するための最初の試み (例えば、SNDSRVRQS *TEST) の後に生成されます。