VLANを用いた「鉄壁」の分離ネットワーク構築ガイド:ファイアウォールルールの鉄板設定と疎通確認テストの手順
「分けたつもり」が一番危ない
VLAN IDを割り振っただけでは、多くのルーター(特に業務用L3機器)は親切心から「全VLAN間のルーティング」を自動で行ってしまいます。真の隔離(鉄壁の分離)を実現するには、物理的なセグメント分けの後に、厳格なファイアウォールルール(ACL)の適用と、意図通りに遮断されているかの実機テストが不可欠です。
1. ファイアウォールルールの「鉄板」設定
ルールは「上から順に評価」されるため、並び順が重要です。
① 確立済み通信の許可(Established/Related)
「自分から送ったパケットの返事」だけは常に通るようにします。これがないと、インターネット閲覧すらできません。
② 特定サービスのみの穴あけ(許可)
隔離されたVLANから、唯一許可する通信を定義します。
- DNS/NTP: 内部サーバー、または特定の公共サーバーへのみ許可。
- 印刷: 業務VLANからプリンターVLAN(特定のIP)へのみ許可。
③ 残りすべての拒否(Default Deny)
ルールの最後で、他のセグメントへの通信をすべて**Drop(破棄)またはReject(拒否)**します。
ソース: IoT VLAN→宛先: すべての社内VLAN:拒否ソース: ゲストVLAN→宛先: すべての社内VLAN:拒否
2. 疎通確認テストの手順(エビデンスの取得)
設定が終わったら、PCを各VLANに繋ぎ変えて、以下の3段階テストを行います。
Step 1:許可された通信の確認
- テスト: 隔離セグメントの端末から、インターネット上のサイトが見えるか?
- テスト: 業務PCから、隔離VLAN内のプリンターへPingが通るか?
- 期待結果: すべて成功。
Step 2:禁止された通信の確認(重要)
- テスト: 隔離されたIoT機器やゲスト端末から、社内サーバー(192.168.1.xxx等)へPingを打つ。
- テスト: ブラウザで社内NASの管理画面を開こうとしてみる。
- 期待結果: **タイムアウト(到達不能)**になること。
Step 3:ネットワークスキャンによる「不可視化」確認
- ツール: スマホアプリの「Fing」や、PC用の「Advanced IP Scanner」を使用。
- 手順: ゲスト/隔離Wi-Fiに接続し、スキャンを実行する。
- 期待結果: 自分の端末とルーター(ゲートウェイ)以外、何もリストに載らないこと。
3. 運用上の注意:管理用PCの「特権」
管理者自身のPCは全VLANにアクセスできる必要がありますが、そのPCがウイルスに感染すれば全ての隔離が無意味になります。管理用PCは「最強の特権を持つ、最強の防御対象」として、MFA(多要素認証)やEDRによる徹底的な保護を併用してください。
