システムは、WEBインターフェイスを用いて、利用者に対し網側のFirewall機能を切り出して提供するものです。WEBから設定されたACLの内容で直接ルータを設定できます。
本システムは、Ciscoシステムズ社の提供するSDN(Software Defined Network)機構であるOnePKを利用して、WEBインターフェイスからマルチユーザでACL設定を行うことができます。
作成したシステムの目的は、ホスティングユーザに対して簡単に利用できるアクセスコントロールシステムを網側で提供することです。
サービスの一部としてグローバルアドレスを利用者に提供する場合、提供するグローバルアドレスはセキュリティの設定など行われていない生のインターネット接続環境の場合があります。これは利用者に対してセキュリティ制限のない自由なインターネット環境を提供することで自由度を下げないようにするための配慮でした。
しかし、ユーザがグローバルアドレスを利用する際には、利用者自身でファイアウォールのような設定を行う必要があり、特定の利用者がネットワークセキュリティやパケット単位のアクセスコントロール制御に詳しくない場合もあります。そのような状態では、貸し出したリソース自体がセキュリティホールになる可能性もあり、問題となります。これを踏まえ、弊社での実装はユーザ自身が開通作業としてWEBより通信許可のアクセスコントロールルールを入れない限りすべてのTCP通信は遮断される設定をデフォルトとして設計しました。すなわち、外からのすべての通信をすべて止めておき、利用したいものだけを許可していくルールです。
さらに、ACLの設定はインターネット側から内部向きの通信のみを制御するものとしました。途中まで実装を行いテストしましたが、パケット単位のアクセスコントロールはその設定だけでも十分に難しく、あわせて内部からの通信なのか外部からの通信などかを判断しながらアクセスコントロール設定を実施することは非常に難しく専門的な知識も必要となり結局利用者が設定できないのではないかと考えたからです。
以下に仕様一覧を示します。
| 項目名 | 内容 |
| ACL適用方向 | インターネットから内部向き |
| デフォルトTCPアクション | 全禁止 |
| デフォルトUDPアクション | ワームなどに利用されるものだけ禁止 |
| その他のプロトコル | 制限なし |
| ユーザごとの設定アドレス | 宛先・通信元のどちらかは割当アドレス |
| IPv6対応 | すべてにおいて対応 |
| ポート番号 | ソースポート、ディスティネーションポートのそれぞれで、すべて・または指定ポート1つずつ設定可能。範囲指定は利用不可 |
| TCPフラグ | フラグはBitが1の状態を判断でき、なおかつ複数のフラグはすべてANDで比較します。 |
| ACLプロファイル上限数 | 無限 |
| ACLエントリ数上限 | 1ユーザにつき99個まで |
| 適用可能ACLプロファイル | IPv4とIPv6でそれぞれひとつずつ。 |
| WEBインターフェイス同一ユーザ同時ログイン | システムの整合性担保のため、1ユーザ1接続のみ対応 |