| ファイヤーウォールとは |
ファイヤーウォールとは、必要なものは通し、必要でないものは通さないようにするものである。
また以下ともいう。
・ネットワーク上の悪意のあるアクセスをブロックする。
・内部、外部ネットワークの境界にあり、内部ネットワークを守っている。
| ファイヤーウォールの基本機能 |
■フィルタリング
送信元、宛先、ポート番号、プロトコルなどを指定し、許可、遮断を行う。
■不正アクセスの検知
■ネットワークアドレス変換
NAT変換により、内部ネットワークのPCを守る。
| ファイヤーウォールの種類 |
大きく分けると、「パケットフィルタリング型」と「ゲートウェイ型」の2つがある。
| ■パケットフィルタリング型 〇スタティックパケットフィルタリング 〇ダイナミックパケットフィルタリング 〇ステートフルパケットフィルタリング ■ゲートウェイ型 ■サーキットゲートウェイ型 |
| パケットフィルタリング型 |
| スタティックパケットフィルタリング |
下記の5項目について、指定し、それに該当する通信のパケットを許可したり、遮断したりする。
| 送信元IPアドレス | 宛先IPアドレス | TCP or UDP | ポート番号 | 通信プロトコル |
例えば、送信元と宛先のIPアドレスは●●で、TCPで、ポート番号は443で、通信プロトコルはSSHのパケットというふうにである。
ルーターのアクセスリストと機能は同じである。
| ダイナミックパケットフィルタリング |
必要に応じて通信に利用するポートを動的に割り当てて開閉することであり、
内部から外部へのパケットのみを許可する設定を行なうと、
通信発生時には外部から内部への応答パケットなどが通過できるように一時的な設定が動的に設定される。
この一時的な設定はしばらくすると、破棄される。
スタティックパケットフィルタリングの場合、外部と内部で双方向通信を行う為には、
内部→外部、外部→内部の双方向の通信を許可しないといけないが、
ダイナミックパケットフィルタリングの場合は、どちらか一方の通信が設定されていれば、
その通信の返信に限り、その場でルールが作成され通信が許可される。
| ステートフルインスペクション |
パケット内の情報を監視し、正当な手順を踏んで送信されたものであるかをどうかを見抜くことで、不正な偽装パケットを検出する。
パケットフィルタより高い防御を誇りますが、 全てのパケットやセッションの状態を管理する必要があることと、
Dos(サービス拒否)攻撃に弱いことが難点として挙げられます。
| ゲートウェイ型 |
アプリケーション型、プロキシ型とも呼ばれる。
内部にあるコンピュータの代わりに通信を行うファイヤーウォールである。通信時、内部にあるコンピュータが完全に隠された状態で行う。
| サーキットゲートウェイ型 |
従来のパケットフィルタリング昨日にポート制御機能を追加したファイヤーウォール
| ファイヤーウォールの製品 |
ファイヤーウォールの製品としては以下が有名です。
・フォーティネットジャパンのFortiGate
・パロアルトネットワークス社の次世代ファイヤーウォール
・ジュニパーネットワークス社のSRXシリーズ ファイヤーウォール
それ以外にも以下のような製品があります。
・IPCOM
・Cisco社のASAシリーズ
| ファイアウォールの選び方 |
| ネットワークの規模に対応しているか |
ファイヤーウォールの製品には、小規模なものから大規模なものまで様々ある。
ネットワークの規模と要件を把握し、それに応じた製品を選ぶことと、将来の規模拡張も見据えることが大事である。
| トラフィック増加に対応できるか |
ネットワークを流れるトラフィック量は一定ではなく、また企業規模の拡大や新サービスの開始などで増加する場合がります。トラフィックが増加し、対応できなくなると、処理能力低下、遅延などが発生することとなります。
| クラウド型(Saas)かアプライアンス型か。 |
クラウド型は月定額制で、アプライアンス型は実際に機器を購入する形で、様々な価格帯のものがあります。
| 遮断したい攻撃がカバーされているか。 |
たくさんの機能がついていると、高額になりやすいが、不要な機能では意味がありません。
必要な機能がついていることが大事になります。
| サポート体制が充実しているか。 |
ファームウェアアップデートの頻度など脆弱性への対応についても注意が必要です。
24時間体制で問い合わせ対応を行えるベンダーなら、社内に詳しい人がいなくても安心です。
| おまけ ファイアウォール以外のセキュリティ製品 |
ファイヤーウォールと同様のセキュリティ製品として、IDS/IPS、WAFといったものがあります。
| ネットワーク | OS | ミドルウェア | WEBアプリ | |
| ファイヤーウォール | 〇 | × | × | × |
| IDS/IPS | 〇 | 〇 | △ | × |
| WAF | 〇 | 〇 | 〇 | 〇 |
ファイヤーウォールとどう違うのかを説明いたします。
| IDS/IPSとの違い |
以下のような違いがあります。
| IDS | 侵入検知システム | 不正アクセスなどの悪意のあるトラフィックを検出し、アラートを出したりするものです。 |
| IPS | 侵入防止システム | IDSの機能に追加で通信を遮断する。 |
| WAFとの違い |
WAFはWebアプリケーションファイアウォールの略です。
Webアプリケーションの通信に特化して不正アクセスを検知・防御できるのが大きな特徴です。
Webサイトを狙った不正アクセスやサイバー攻撃など、IDS/IPSでは防御できない範囲を補います。