特別企画

ルータとはどこが違うの? ヤマハのファイアウォール「FWX120」を試してみる

 「FWX120」は、ヤマハから昨年11月に発売されたファイアウォール製品だ。ヤマハのネットワーク製品になじみのある人には、「SRT100」の後継機種といったほうがわかりやすいかもしれない。主に、中小企業やブランチオフィスなどの小規模なネットワークを対象としたネットワークセキュリティ製品だ。

 今回、このFWX120を編集部から借りて試してみた。

インターフェイスがGbEに対応、管理画面はNetVolanteのタイプに

FWX120

 ファイアウォールとはいえ、ルータで長い実績を積み重ねてきたヤマハの製品だけに、FWX120は「RTXシリーズ」ルータと同系列のルータ機能は持っている。従来のSRT100は「ファイアウォールルータ」として販売されていた。しかし、ほかのルータ製品と並べた際にその位置付けがわかりづらかったことから、ヤマハはFWX120をあらためて「ファイアウォール」と位置付けた。

 FWX120が最もSRT100から変わった点は、WAN/LANインターフェイスが1000BASE-Tに対応したことだ。ヤマハのルータ製品でいうと、現行のRTX1200などの世代の仕様に追随した。同様に、USBデータ通信端末を利用したデータ通信機能やLuaスクリプトでの制御の機能、ヤマハ製スマートL2スイッチ「SWX2200シリーズ」の管理にも対応している。

 ボディ色は赤となり、デザインもルータ製品とは少し違ったものとなっている。これらも、ルータ製品との差別化の一環だろう。

 サイズは、220×42.6×160.5mm。筆者が日ごろ使っている、ヤマハのブロードバンドVoIPルータNVR500と重ねてみると、ほぼ同じぐらいの大きさだ。

 電源を入れてみると、最近のRTXシリーズと同様に、初期状態でDHCPサーバー機能などが設定されていて、PCを接続するだけでWebの管理画面から設定できる。

 管理画面のユーザーインターフェイスも、SRT100やRTX1200などとは異なり、NVR500などのNetVolanteシリーズのタイプになっていて、Webからの設定をより重視したものになっている。

FWX120(上)と、筆者がもともと使っているNVR500(下)。同じぐらいの大きさだ
FWX120では初期状態でWebの管理画面から設定できる

透過型ファイアウォールで既存のネットワークと共存

 最初にも書いたように、FWX120はRTXシリーズと同系列のルータ機能を備えている。そのため、既存のルータを置き換えて設置することもできる。

 ただしルータを置き換えるとなると、ネットワーク全体を再構成する必要があるため、実運用中のネットワークではなかなか大変だ。

 そこで、FWX120がレイヤ2のブリッジとして、ルータとPC(あるいはPCを接続したスイッチ)との間に入りファイアウォールの役割を果たす、「透過型ファイアウォール」の構成もサポートされている。

 透過型ファイアウォール構成であれば、既存のルータもPCも1つのネットワークのまま設定変更なしに使える。PCのIPアドレスやそれを管理するDHCPサーバーも、元のままでよい。その構成を保ったまま、FWX120のファイアウォール機能を追加して、ネットワークのセキュリティを高められる。

 実際に設定してみよう。ここでは、ブロードバンドルータのLAN側インターフェイスのIPアドレスが192.168.1.1であるものとし、管理用にFWX120のIPアドレスを固定で192.168.1.2を割り当てるものとする。なお、FWX120の背面の「LAN1」のポートをLAN側としてPCを接続し、「LAN2」のポートをWAN側として既存のルータと接続している。

 設定する前はFWX120がルータ構成になっているため、設定用PCはFWX120の下のネットワークに置かれ、FWX120のDHCPサーバーからIPアドレスを割り振られている。透過型ファイアウォールの設定が完了すると、FWX120はブリッジとなるため、PCもFWX120も元のルータの管理するネットワークに置かれることになる。

 ヤマハのネットワークといえば、シリアルポートやTELNET接続などからコマンドラインで設定したり、設定内容を確認したりできるのが特徴だ。FWX120でももちろん、RTXシリーズやNetVolanteシリーズと同じように、コマンドラインからの設定が使える。

 透過型ファイアウォールとして設定した直後に、コマンドラインから設定を確認してみると、ブリッジやフィルタリングの設定がなされていることがわかる。GUIで簡単に初期設定した上でコマンドラインからでも設定情報を確認することができる。

 なお、SRT100の後継モデルであるため、これまでのユーザーもConfigがそのまま使える(一部コンバータが必要なケースもあるが)。こうした継続性も、既存ユーザーにとっては嬉しい点だろう。

FWX120のトップ画面の「ファイアウォールの設定」をクリックして、ファイアウォールの初期を開始する。透過型ファイアウォールの設定をするので、ここでは、既存ルータの下でのFWX120のIPアドレスを固定で設定する
ブリッジとして働くため、FWX120のDHCPサーバー機能は使用しない
FWX120自身がインターネットにアクセスするため、DNSサーバーとして既存ルータを指定する
ファイアウォールとしてフィルタリングする通信と許可する通信の設定。代表的な通信の種類から初期設定できる
設定を確定すると、FWX120が再起動し、ブリッジとして動き直す
透過型ファイアウォールとして設定した後、コマンドラインからブリッジの設定を確認してみる
代表的な通信の種類から作られたフィルタリング設定を、コマンドラインから確認してみる

ファイアウォール的な設定方法の「ポリシーフィルター」

 ヤマハのルータの経験がある人であれば、上に掲載した、コマンドラインから確認したフィルタリング設定が、「ip policy ~」という形式になっていることに気付くかもしれない。ヤマハのルータ製品では、多くは「ip filter ~」のような形式だ。

 これがFWX120の「ポリシーフィルター」の機能であり、RTXシリーズなど同じヤマハのルータ製品との主な違いだ。

 ルータ製品のフィルタリング設定では、基本的に、パケットのポート番号やアドレスなどを指定して設定する。それに対してポリシーフィルターでは、ネットワークやサービスについてあらかじめグループを定義し、それらの通信について許可や拒否を設定する。

 ファイアウォールであるのだから当たり前ではあるが、このポリシーフィルターの考え方は、ルータよりファイアウォール製品に近いものだ。詳細なフィルタリング設定を、より効率的に設定するのに向いている。

 ポリシーフィルターの変更や追加などは、Webの管理画面から設定できる。トップ画面から「詳細設定と情報」に進むと、「ポリシーフィルターの設定」の項目がある。ここから、現在の設定を確認したり、グループやポリシーセットを変更したりできる。

 ポリシーフィルター方式以外に、入力遮断フィルターがある。例えば、特定の通信などへの対策などピンポイントの設定は入力遮断フィルターで、一般的な設定はポリシーフィルターで、のように使い分けられる。

ポリシーフィルターによるフィルタリングが、同じヤマハのルータ製品との主な違い。Webでもコマンドラインでも設定できる

 FWXl20とRTXシリーズとでは、フィルタリング処理の構成のレベルでも違いがある。RTXシリーズでは、インターネットから来たパケットは、NATの処理の後に、ファイアウォール(フィルタリング)処理やURLフィルター、QoSなどの処理がなされる。

 それに対してFWX120では、ルーティングより前に、入力遮断フィルターの処理がなされる。そのため、FWX120をルータ型で使っているときに、入力遮断フィルターで拒否したパケットはルーティング処理に負荷をかけない。なお、ポリシーフィルターはルーティングの後で処理される。

RTXシリーズでのフィルタリングの位置(ヤマハの資料より)。ルーティングの後にファイアウォール処理が入っている
FWX120でのフィルタリングの位置(ヤマハの資料より)。ルーティングの前に入力遮断フィルターが入っている

URLフィルターやL2スイッチ制御も

 RTX1200などにもすでに搭載されているが、FWX120もWebフィルタリングの機能を備えている。社内から不適切なWebサイトへのアクセスを、URLベースでブロックするものだ。

 これには、ブロックするURLのパターンを自分で設定する「内部データベース参照型」と、サービスとして提供されているURLリストを利用する「外部データベース参照型」の2つの方法がある。外部データベース参照型は有償オプションとなっており、デジタルアーツ株式会社やネットスター株式会社のサービスが利用できる。

 いずれも、「詳細設定と情報」から「URLフィルターの設定」に進んで設定する。まず共通設定をした後、ネットワークインターフェイスに実際のフィルターを設定する。ネットワーク内からインターネットへのアクセスなので、LAN1(LAN側)の「入」か、LAN2(WAN側)の「出」にURLフィルターを設定する。

URLフィルターは、共通設定の後、インターフェイスごとに設定する
内部データベース型の共通設定で、「使用する」を選ぶ
インターフェイスに内部データベース型URLフィルターを設定する。ここでは「auction」を含むURLを拒否している
URLに「auction」を含むサイトへのアクセスが拒否された
外部データベース型の共通設定で、外部のサービスとそのアカウントを設定する
インターフェイスに外部データベース型URLフィルターを設定する。ここではカテゴリーとして「オークション」を設定している

 そのほか、トラフィックや、CPUやメモリなどのリソースの状況をグラフ表示する機能もある。

トラフィックやリソースの状況をグラフ表示する機能

 RTX1200などと同じく、ヤマハのスマートL2スイッチ「SWX2200」シリーズの管理にも対応している。SWX2200シリーズは、FWX120から設定することで、VLANやQoS、ポートごとの制御などができる。しかも、FWX120のWeb管理画面からGUIで設定できる。

 FWX120ではさらに、SWX2200シリーズと連動して不正なホストを禁止する機能が搭載された。こうしたスイッチ制御を使うことで、インターネットとの接続だけでなく、LAN内のネットワークセキュリティを高める工夫ができる。小さいようでも、大きな強化点といえるだろう。

 なお、これまでのヤマハのネットワーク製品と同様、FWX120でもファームウェアの無償アップデートが提供されるので、今後も機能強化が行われる可能性はある。保守契約の必要なく最新ファームウェアが提供されることから、コストとセキュリティのバランスを望むユーザーにもお勧めしやすくなっている。

FWX120からレイヤ2スイッチのSWX2200シリーズを制御する
SWX2200シリーズを制御するLUAスクリプトが組み込まれている

 以上、FWX120を実際に試してみた。

 ネットワークセキュリティも、「出口対策」など、単にインターネットからのパケットをフィルタリングするだけでは済まなくなってきた。それにともない、フィルタリングの設定も複雑なものになってきている。比較的小規模なネットワークでそうした設定をする場合に、価格やUIの手ごろなFWX120が導入しやすそうだ。

 ただし、ここまで解説してきたように、FWX120はルータと似て非なる部分も多く、実際にさわってみないとわかりづらい、ということがあるかもしれない。そこで販売代理店のSCSKでは、FWX120を取り扱う販売店を対象として、検証用の同製品を安価に提供する「FWX120検証メンバーズ」キャンペーンを、3月19日まで実施している。

 また、この記事では透過型ファイアウォール構成の場合を中心に説明したが、FWX120はRTXシリーズで実績のあるルータ機能を持っているため、ネットワークの再構成が許される状況や、ブロードバンドルータでは設定が追いつかなくなった場合などには、FWX120をルータとして導入するのもよいだろう。

 SCSKではエンドユーザー向けにも、「ルーターリプレイスキャンペーン」を3月22日まで実施している。これは、他社製ルータ、もしくはヤマハ製の旧製品からFWX120などへリプレースしたエンドユーザーに、1000円分のQuoカードを贈呈し、さらに抽選でヤマハ商品(ゴルフ用品、オーディオ機器など)が当たるというもの。ルータのリプレースを検討しているのであれば、この機会を利用してみるのもいいだろう。

(高橋 正和)