はじめに
NASに保存されているデータを外部からの不正アクセスや攻撃から守るには、NAS本体のセキュリティを強化する必要があります。Synology NASには、強力なセキュリティ機能が備わっています。今回は、その中のファイアウォールの設定を紹介します。現地点でのファイアウォール設定を記載しておきます。
ファイアウォールの基本原則
必要なトラフィックのみを許可しまが、それ以外はトラフィックは拒否とします。
・NASと同じネットワークにある機器のトラフィックは許可します。
・最初に必要なトラフィックのみを明示的に許可します。
・外部からのアクセス(インターネット側)は、すべて拒否します。
※ 現状、OpenVPNは,DS223jを利用しています。今後、DS224+にもOpenVPNを許可するかもしれません。
・それ以外はすべて、拒否します。
ファイアウォールを設定
「ファイアウォール」を有効にします。
- 1.「コントロールパネル」から「セキュリティ」を選択し「ファイアウォール」タブを選択します。
- 2.「全般」の以下にチェックを付けます。
☑ ファイアウォールを有効にする
☑ ファイアウォール通知を有効にする
「適用」ボタンをクリックします。
「ファイアウォールプロファイル」を設定します。
- 1.「 ファイアウォールプロファイル:」の「ドロップダウンリスト」から「custom」を選択します。
左側の「規則の編集」ボタンをクリックします。 - 2.「プロファイルの編集”custom”」画面が開きます。
- 3.「 ファイアウォールルール」を設定します。
・右側のドロップダウンリストより「すべてのインターフェイス」を選択します。
・「作成」ボタンをクリックし以下のルールを追加します。
1番目に優先するルール
Synology NASと同じIPv4ネットワークのアクセスを許可します。
・「作成」ボタンをクリック
・ポート : 「● 全て」
・ソースIP : 「● 特定IP」を選択して「選択」ボタンをクリック
「ソースIP」の画面が開きますので、「● サブネット」を選択
IPアドレス : 「例 192.168.0.0」<Synology NASのIPv4>
サブネット : 「例 255.255.255.0」
「OK」ボタンをクリック
・操作 : 「● 許可」
・「OK」ボタンをクリック
2番目に優先するルール
Synology NASと同じIPv6ネットワークのアクセスを許可します。
・「作成」ボタンをクリック
・ポート : 「● 全て」
・ソースIP : 「● 特定IP」を選択して「選択」ボタンをクリック
「ソースIP」の画面が開きますので、「● サブネット」を選択
IPアドレス : 「例 2001:xxxx:xxxx:xxxx::」<グローバルユニキャストアドレス>
サブネット : 「例 64」<プリフィックス>
「OK」ボタンをクリック
・操作 : 「● 許可」
・「OK」ボタンをクリック
3番目に優先するルール
Synology NASと同じIPv6ネットワークのアクセスを許可します。
・「作成」ボタンをクリック
・ポート : 「● 全て」
・ソースIP : 「● 特定IP」を選択して「選択」ボタンをクリック
「ソースIP」の画面が開きますので、「● サブネット」を選択
IPアドレス : 「例 fe80::」<リンクローカルアドレス>
サブネット : 「例 64」<プリフィックス>
「OK」ボタンをクリック
・操作 : 「● 許可」
・「OK」ボタンをクリック
4番目に優先するルール
1番目~3番目に優先するルール以外を全て拒否にします。
・「作成」ボタンをクリック
・ポート : 「● すべて」
・ソースIP : 「● すべて」
・操作 : 「● 拒否」
・「OK」ボタンをクリック
「OK」ボタンをクリックで完了です。
Dos 保護を有効にする。
- 1.「コントロールパネル」から「セキュリティ」を選択し「保護」タブを選択します。
- 2. 画面下側にある「サービス拒否(Dos)保護」を展開します。
- 3.「ネットワークインターフェイス」を選択します。
「LAN1」「Bond1」など選択します。
「☑ Dos保護を有効にする」にチェックを付けます。
「適用」ボタンをクリックします。
あとがき
ファイアウォールは、NASのセキュリティを保護するために不可欠です。インターネット側では、HGW(ホームゲートウェイ)によるフィルタ設定があり、さらにセグメント分割を利用した「WN-7T94XR」ルータにも簡易ファイアウォール機能が搭載されています。しかし、「WN-7T94XR」のWi-Fiへの不正アクセスリスクは依然として存在します。次回の第6回では、2要素認証について解説します。
