特別企画
ルータとはどこが違うの? ヤマハのファイアウォール「FWX120」を試してみる
(2013/2/22 00:00)
「FWX120」は、ヤマハから昨年11月に発売されたファイアウォール製品だ。ヤマハのネットワーク製品になじみのある人には、「SRT100」の後継機種といったほうがわかりやすいかもしれない。主に、中小企業やブランチオフィスなどの小規模なネットワークを対象としたネットワークセキュリティ製品だ。
今回、このFWX120を編集部から借りて試してみた。
インターフェイスがGbEに対応、管理画面はNetVolanteのタイプに
ファイアウォールとはいえ、ルータで長い実績を積み重ねてきたヤマハの製品だけに、FWX120は「RTXシリーズ」ルータと同系列のルータ機能は持っている。従来のSRT100は「ファイアウォールルータ」として販売されていた。しかし、ほかのルータ製品と並べた際にその位置付けがわかりづらかったことから、ヤマハはFWX120をあらためて「ファイアウォール」と位置付けた。
FWX120が最もSRT100から変わった点は、WAN/LANインターフェイスが1000BASE-Tに対応したことだ。ヤマハのルータ製品でいうと、現行のRTX1200などの世代の仕様に追随した。同様に、USBデータ通信端末を利用したデータ通信機能やLuaスクリプトでの制御の機能、ヤマハ製スマートL2スイッチ「SWX2200シリーズ」の管理にも対応している。
ボディ色は赤となり、デザインもルータ製品とは少し違ったものとなっている。これらも、ルータ製品との差別化の一環だろう。
サイズは、220×42.6×160.5mm。筆者が日ごろ使っている、ヤマハのブロードバンドVoIPルータNVR500と重ねてみると、ほぼ同じぐらいの大きさだ。
電源を入れてみると、最近のRTXシリーズと同様に、初期状態でDHCPサーバー機能などが設定されていて、PCを接続するだけでWebの管理画面から設定できる。
管理画面のユーザーインターフェイスも、SRT100やRTX1200などとは異なり、NVR500などのNetVolanteシリーズのタイプになっていて、Webからの設定をより重視したものになっている。
透過型ファイアウォールで既存のネットワークと共存
最初にも書いたように、FWX120はRTXシリーズと同系列のルータ機能を備えている。そのため、既存のルータを置き換えて設置することもできる。
ただしルータを置き換えるとなると、ネットワーク全体を再構成する必要があるため、実運用中のネットワークではなかなか大変だ。
そこで、FWX120がレイヤ2のブリッジとして、ルータとPC(あるいはPCを接続したスイッチ)との間に入りファイアウォールの役割を果たす、「透過型ファイアウォール」の構成もサポートされている。
透過型ファイアウォール構成であれば、既存のルータもPCも1つのネットワークのまま設定変更なしに使える。PCのIPアドレスやそれを管理するDHCPサーバーも、元のままでよい。その構成を保ったまま、FWX120のファイアウォール機能を追加して、ネットワークのセキュリティを高められる。
実際に設定してみよう。ここでは、ブロードバンドルータのLAN側インターフェイスのIPアドレスが192.168.1.1であるものとし、管理用にFWX120のIPアドレスを固定で192.168.1.2を割り当てるものとする。なお、FWX120の背面の「LAN1」のポートをLAN側としてPCを接続し、「LAN2」のポートをWAN側として既存のルータと接続している。
設定する前はFWX120がルータ構成になっているため、設定用PCはFWX120の下のネットワークに置かれ、FWX120のDHCPサーバーからIPアドレスを割り振られている。透過型ファイアウォールの設定が完了すると、FWX120はブリッジとなるため、PCもFWX120も元のルータの管理するネットワークに置かれることになる。
ヤマハのネットワークといえば、シリアルポートやTELNET接続などからコマンドラインで設定したり、設定内容を確認したりできるのが特徴だ。FWX120でももちろん、RTXシリーズやNetVolanteシリーズと同じように、コマンドラインからの設定が使える。
透過型ファイアウォールとして設定した直後に、コマンドラインから設定を確認してみると、ブリッジやフィルタリングの設定がなされていることがわかる。GUIで簡単に初期設定した上でコマンドラインからでも設定情報を確認することができる。
なお、SRT100の後継モデルであるため、これまでのユーザーもConfigがそのまま使える(一部コンバータが必要なケースもあるが)。こうした継続性も、既存ユーザーにとっては嬉しい点だろう。
ファイアウォール的な設定方法の「ポリシーフィルター」
ヤマハのルータの経験がある人であれば、上に掲載した、コマンドラインから確認したフィルタリング設定が、「ip policy ~」という形式になっていることに気付くかもしれない。ヤマハのルータ製品では、多くは「ip filter ~」のような形式だ。
これがFWX120の「ポリシーフィルター」の機能であり、RTXシリーズなど同じヤマハのルータ製品との主な違いだ。
ルータ製品のフィルタリング設定では、基本的に、パケットのポート番号やアドレスなどを指定して設定する。それに対してポリシーフィルターでは、ネットワークやサービスについてあらかじめグループを定義し、それらの通信について許可や拒否を設定する。
ファイアウォールであるのだから当たり前ではあるが、このポリシーフィルターの考え方は、ルータよりファイアウォール製品に近いものだ。詳細なフィルタリング設定を、より効率的に設定するのに向いている。
ポリシーフィルターの変更や追加などは、Webの管理画面から設定できる。トップ画面から「詳細設定と情報」に進むと、「ポリシーフィルターの設定」の項目がある。ここから、現在の設定を確認したり、グループやポリシーセットを変更したりできる。
ポリシーフィルター方式以外に、入力遮断フィルターがある。例えば、特定の通信などへの対策などピンポイントの設定は入力遮断フィルターで、一般的な設定はポリシーフィルターで、のように使い分けられる。
FWXl20とRTXシリーズとでは、フィルタリング処理の構成のレベルでも違いがある。RTXシリーズでは、インターネットから来たパケットは、NATの処理の後に、ファイアウォール(フィルタリング)処理やURLフィルター、QoSなどの処理がなされる。
それに対してFWX120では、ルーティングより前に、入力遮断フィルターの処理がなされる。そのため、FWX120をルータ型で使っているときに、入力遮断フィルターで拒否したパケットはルーティング処理に負荷をかけない。なお、ポリシーフィルターはルーティングの後で処理される。
URLフィルターやL2スイッチ制御も
RTX1200などにもすでに搭載されているが、FWX120もWebフィルタリングの機能を備えている。社内から不適切なWebサイトへのアクセスを、URLベースでブロックするものだ。
これには、ブロックするURLのパターンを自分で設定する「内部データベース参照型」と、サービスとして提供されているURLリストを利用する「外部データベース参照型」の2つの方法がある。外部データベース参照型は有償オプションとなっており、デジタルアーツ株式会社やネットスター株式会社のサービスが利用できる。
いずれも、「詳細設定と情報」から「URLフィルターの設定」に進んで設定する。まず共通設定をした後、ネットワークインターフェイスに実際のフィルターを設定する。ネットワーク内からインターネットへのアクセスなので、LAN1(LAN側)の「入」か、LAN2(WAN側)の「出」にURLフィルターを設定する。
そのほか、トラフィックや、CPUやメモリなどのリソースの状況をグラフ表示する機能もある。
RTX1200などと同じく、ヤマハのスマートL2スイッチ「SWX2200」シリーズの管理にも対応している。SWX2200シリーズは、FWX120から設定することで、VLANやQoS、ポートごとの制御などができる。しかも、FWX120のWeb管理画面からGUIで設定できる。
FWX120ではさらに、SWX2200シリーズと連動して不正なホストを禁止する機能が搭載された。こうしたスイッチ制御を使うことで、インターネットとの接続だけでなく、LAN内のネットワークセキュリティを高める工夫ができる。小さいようでも、大きな強化点といえるだろう。
なお、これまでのヤマハのネットワーク製品と同様、FWX120でもファームウェアの無償アップデートが提供されるので、今後も機能強化が行われる可能性はある。保守契約の必要なく最新ファームウェアが提供されることから、コストとセキュリティのバランスを望むユーザーにもお勧めしやすくなっている。
以上、FWX120を実際に試してみた。
ネットワークセキュリティも、「出口対策」など、単にインターネットからのパケットをフィルタリングするだけでは済まなくなってきた。それにともない、フィルタリングの設定も複雑なものになってきている。比較的小規模なネットワークでそうした設定をする場合に、価格やUIの手ごろなFWX120が導入しやすそうだ。
ただし、ここまで解説してきたように、FWX120はルータと似て非なる部分も多く、実際にさわってみないとわかりづらい、ということがあるかもしれない。そこで販売代理店のSCSKでは、FWX120を取り扱う販売店を対象として、検証用の同製品を安価に提供する「FWX120検証メンバーズ」キャンペーンを、3月19日まで実施している。
また、この記事では透過型ファイアウォール構成の場合を中心に説明したが、FWX120はRTXシリーズで実績のあるルータ機能を持っているため、ネットワークの再構成が許される状況や、ブロードバンドルータでは設定が追いつかなくなった場合などには、FWX120をルータとして導入するのもよいだろう。
SCSKではエンドユーザー向けにも、「ルーターリプレイスキャンペーン」を3月22日まで実施している。これは、他社製ルータ、もしくはヤマハ製の旧製品からFWX120などへリプレースしたエンドユーザーに、1000円分のQuoカードを贈呈し、さらに抽選でヤマハ商品(ゴルフ用品、オーディオ機器など)が当たるというもの。ルータのリプレースを検討しているのであれば、この機会を利用してみるのもいいだろう。