概要: 「ファイアウォール」で内部と外部のネットワークを隔離して、外部から危険なパケットが入ることを防ぎ、内部から不要なパケットが出ないように制御します。 外部から見せるサーバはDMZ(非武地帯)と呼ぶ特別なセグメントのネットワークに配置します。
ファイアウォール(firewall)の直訳は防火壁です。
そしてこの役割のように、
インターネットの脅威にさらされないように、
壁として内部を守るためのシステムです。
または、その機能が組み込まれたコンピュータやハードウェアを言います。
この目的のため、配置位置は、インターネットの接点です。
つまりインターネットと内部システムの境界に置かれます。
(ここに置かれる一般的装置がルータなので、
この機能を有するルータが多いようですが、ブリッジタイプのものも存在します。)
)
また、Windowsシステムのコントロールパネルの中にも
「ファイアウォール」のアイコンがあり、
これもどのネットワークサービスを
有効にするかなど設定が可能です。
外部から内部を守る対象は、マシン単体の場合から数百台のイントラネットシステム全体を防御対象にする場合と色々なケースがあるでしょう。
またインターネットの接点が1つのシステム、や公衆回線など複数の外部接点がある場合など、
システム構成もさまざまです。
いずれの場合でも、一つの外部との境界に対して 壁となるファイアウォールを作れば効率が上がります。
(複数の外部境界がある場合は、複数必要とされます)
代表的な構成のイメージを以下に示します。
上記のDMZ(De-Militarized Zone:デミリタリーゾーン:非武装地帯)と呼ばれるセグメント(レイヤー2の接続範囲)で、
外部と通信可能な領域を作り、そこに各種のサーバ(Webサーバ、メールサーバ、DNSサーバ、FTPサーバ)を配置します。
(この部分は、バリアセグメント(barrier segment)や境界ネットワークとも呼ばれます。)
そして この限定されたDMZのサーバ群にだけ、外部からの接続を可能にします。
限定されるため、不正なアクセスの監視が容易となります。
また仮に攻撃された場合でも、内部のLANには被害が及ぶことはないシステム構築が容易となります。
(一般にデータ業務用ベースサーバは、内部のLANに配置します。)
このセグメントは 内部からも、外部からもアクセスできるという意味から「非武装地帯(DMZ)」と呼ばれている訳です。
ですが、どちらのアクセスも下記に示すパケットフィルタリングなどでアクセス制御を行って、不正通信を防ぐ設定が必要です。
内部を守る目的の為、ファイアウォールとして使える機能を
以下で分類します。
パケット フィルタリング機能 | インターネット側の脅威が、内部に及ばないように、パケットの伝達を制限する機能です。 パケット内のIPアドレスやポート番号を調べて、それが予め記憶される制限対象であれば遮断します。 | |
アドレス変換機能 | NAT(Network Address Translation)やNAPT(Network Address Port Translation) を使って、内部で使われるIPアドレスを、 グローバルに変換します。これにより、外部から見た場合に、内部構成が隠蔽されてます。 (外部からみた場合、ファイアウォールのグローバルIPだけが見える状態になります) | |
代理機能(proxy:プロキシ) | サーキットレベルゲートウェイ型 | 伝達の肩代わりをレイヤー3,4,5において行うものです。 その際の新しいパケットを作り直す時、 内部データ内容を、アプリケーションレベルで解釈せずに作り直します。 代表的なソフトとしてレイヤー5で働くSOCKS(ソックス)があります。 ハード的にはレイヤー4スイッチに、この機能を持つものがあります。 |
アプリケーションゲートウェイ型 | 肩代わりのパケットを作る時、 アプリケーションレベルでの解釈を行って制御します。 一般にプロキシサーバと呼ぶものがこのタイプです。 |
なお、上記の表に入れませんでしたが、 通信記録(アクセスログ)の保存機能も、 重要な機能です。問題の証拠を残して原因解析に使われたり、 ログ調査で、問題の把握で役立ちます。
セグメント(ポート番号制御)やパケット(IPアドレス制御)の ヘッダー情報で、通過許可/不許可を判断するものですが次のように、いくつかに分かれます。 下に並ぶほど高機能です。
スタティック・パケットフィルタ | 手動的あらかじめ設定した条件(IPアドレスやポート番号で、 受け入れ:ACCEPT、廃棄:DROP、拒否:REJECTなど)で、 監視して選別されたサービスのみを通す機能です。 |
ダイナミック・パケットフィルタ | 一方向(一般に内部から外部の通信)を許可する指定を行うと、それに対応する応答と見なされる場合だけ通す方式です。 その際に返信されるパケットを予測し,そのパケットの受信に必要なポートのみを状況に応じて動的に開ける方式なので、 要求がない限りポートはクローズ状態になるため,より安全性が高いとされています。 |
ステートフルパケットインスペクション | SPI(Stateful Packet Inspection:パケット状態精査)ともよばれる ダイナミックパケットフィルタリングの一種で、 TCP/UDPセッション(レイヤ4)の一部情報を記憶して、 、正当な手順のTCP/UDPセッションと判断できないような不正データを拒否します。 |
各種機能の設定を行うことで、優れたセキュリティ対策ができますが、
正しく設定できなければ、役目を果たせません。
また次のような状況では、正しく働きません。
ファイアウォールがを経由しない出入り口 (例えば無線LANやRAS:Remote Access Severなど)が、 存在していると、意味がありません。
内部から外部の制限が弱いので、 内部システム内にあるバックドアが使われると 防げない場合があります。
なお、攻撃や故障によりファイアウォールが停止すると、 全てのインターネット業務が停止することになります。 システム2重化など、十分な対策を必要とします。