ファイアーウォールの設定がブラウザから簡単にできる。そうPleskならね。

こんにちは。GMOクラウドの宇野です。
このたび、Pleskを活用したセキュリティ設定について、いくつか機能をご紹介することとなりました。今回の記事では、セキュリティ設定の中でも代表的なファイアーウォール設定についてご紹介いたします。

1. 連載『Pleskで簡単セキュリティ設定』のほかの記事はこちら
2. 第1回：この記事
3. 第2回：パスワード強度
4. 第3回：IP アドレス禁止（Fail2ban)
5. 第4回：セキュリティ診断
6. 第5回：ModSecurity

Ⅰ．ファイアーウォールってなに？

ファイアーウォールとはインターネットとご利用サーバーの通信を制限し、不要な通信を行わないように設定ができる機能です。現実世界に置き換えてみましょう。大きなビルを想像してみてください。低階層はショップやレストランなどの商業エリア、中～高階層は居住エリアです。

商業エリアは初めて訪問される方にたくさん来ていただきたい所です。進入を制限することは好ましくありません。一方で居住エリアは1室1室に鍵がかかっていても、関係者以外のエリアへの立ち入りは制限したいところです。そうするとビルの入り口で立ち入りを制限すると困るし、全面的に制限しても困ってしまいます。このような問題への対策として居住エリアへの入り口を制限し、セキュリティゲートを設置するケースが見られます。

では大きなビルをサーバーに置き換えて考えてみましょう。

サーバー上ではウェブやメール、FTPなど複数のサービスが稼働しています。ウェブやメールなど、誰に使われるかわからないサービスが存在する一方で、FTPのように、特定の人しか使わないサービスも存在します。FTP接続の際はパスワードが必要と言えど、第三者にはアクセスされたくないところです。サーバー全体への通信を制限すると困るし、まったく制限しないのも考えものです。

今回紹介するファイアーウォールは現実でいうセキュリティゲートと言えます。ウェブは誰でも接続できるように解放し、FTPやPlesk管理画面は特定の拠点からのみアクセスできるように制限します。こうして利便性を損なうことなく、よりセキュアな環境の構築が可能になります。

ファイアーウォールというと、「高価で難しい」というイメージをお持ちの方もいらっしゃると思いますが、Pleskではモジュールが提供されており、Plesk管理画面からの操作のみで設定することが可能です。今回はウェブやメールを利用するサーバー上でのファイアーウォール設定について、その方法と具体的な設定例をご紹介いたします。

Ⅱ．Pleskファイアーウォールの設定手順

1.Plesk管理画面へログインし、ファイアーウォール設定画面を開きます。
[Pleskログイン] > [ツールと設定] > [ファイアーウォール]

画像をクリックすると拡大します。

 

2.ファイアーウォール機能を有効化します。
[ファイアーウォールルール管理を有効にする] > [有効化]

画像をクリックすると拡大します。

 

3.ファイアーウォールのルール(通信の許可、拒否などのルール)を設定します。
[Plesk ファイアーウォールルールを変更]を選択

画像をクリックすると拡大します。

4.仮想サーバーの用途によって、ルールを決定して設定します。
緑のチェックアイコンを選択すると、そのルールが全拒否に変更されます。各ルールの名前を選択すると、より詳細なルールの設定が可能です。

※1 Plesk管理画面にアクセスする拠点からのみ接続を許可します。
※2 FTPの代替としてSFTPを利用します。
※3 SSH/SFTP接続を行う拠点からのみ接続を許可します
※4 サーバーの外部からデータベースに接続しない場合は通信を拒否します。
※5 弊社提供のDNSサーバーを利用します。

発信(サーバーからインターネット方向)の通信は制限していませんが、これも設定することで よりセキュアな環境の構築が可能になります。この記事ではスペースの都合で割愛します。

5.設定したルールを適用します。
[変更内容を適用]を選択 > [アクティブ化]

画像をクリックすると拡大します。

いかがでしょうか？設定はできましたか？設定が完了したら、接続を拒否した拠点からアクセスを行い、設定が有効になっているか確認してみましょう。

Ⅲ．おわりに

なお今回説明しましたのは、サーバーの中で通信を制御する方法となります。これ以外に、サーバーに到達する前に通信を制限するファイアーウォールもございます。これは、利用しているサーバーとは独立して機能するため、CPUやメモリといった限りあるリソースを通信制限に割かずにすみますので、サーバーの負荷を下げることが可能となります。他にも独立したファイアーウォールを利用するメリットは、2つのファイアーウォールに対して別々の通信ルールを設定することが可能となり、より柔軟な運用を行うことができるようになります。

GMOクラウドで提供しているサービスのなかでは、ALTUS Isolateシリーズでは、仮想サーバーから独立した、仮想ルーターによるファイアーウォール機能があります。専用サーバーでは、共用ファイアーウォールと専用ファイアーウォールを、オプション提供しております。詳しくはご利用商品のサービスページ、サポートページをご参照ください。

※上記は一例であり、お客さまごとのご利用用途を踏まえた内容ではありません。
また本設定を行うことによりご利用サーバーのセキュリティを担保するものではありません。設定は内容を十分に吟味して行ってください。
※ご利用のプランやPleskのライセンス等により、表記や手順が異なる場合があります。
※サポート窓口ではファイアーウォールの設定手順についてのみご案内可能となっております。お客さまの用途に合わせたルールのご案内、ご提案は行っておりません。ご不安な場合は、弊社にて提供しておりますセットアップオプション(設定代行サービス)のご利用をご検討ください。