【ファイアウォールの機能について】
このHPはファイアウォール(概要、基本機能)についてまとめたものです。
1-1 ファイアウォール(FW)とは
ファイアウォール(FW)とはネットワークにおいて、ポリシーまたはフィルタリングルールに基づき、パケットの通過・拒否・破棄を行うネットワーク機器、もしくはソフトウェアを指す。この名前は、延焼を食い止める「防火壁(firewall)」に因んでいる。
特にOSI参照モデルのネットワーク層(第3層)、トランスポート層(第4層)に相当するパケットの通信を制御する。
ファイアウォールによって、外部ネットワーク、DMZ、内部ネットワークに分けられる。外部ネットワークは、インターネットのような領域、内部ネットワークは社内ネットワーク。DMZは「非武装地帯」と訳し、内部ネットワークから隔離し、外部公開サーバーを置いておくファイアウォールで区分けされたネットワークを指す。
DMZを設置すると、公開サーバー等に対する直接的な攻撃をできるだけ少なくできる他、アクセスを許可するレベルに応じてネットワークを分けることができる。
つまり、ファイアウォールは下記の3つのネットワーク構成になる。
・社内ネットワーク(信頼ネットワークともいう)
・外部ネットワーク(信頼できないネットワークともいう)
・DMZ
1-2 ファイアウォールの基本機能
ファイアウォールの基本機能として、下記の4つがある。
@パケットフィルタリング機能
Aステートフルインスペクション機能
Bアドレス交換機能
Cログ収集機能
ここでは、@パケットフィルタリング機能とAステートフルインスペクション機能について見ていく。
◆パケットフィルタリング機能
パケットフィルタリングとは、IPパケットの送信元や宛先IPアドレス、TCP/UDPのポート番号、プロトコル種別等によって、IPパケットを通過させるかどうかのアクセス制御をおこなう機能のこと。
パケットフィルタリン機能には、下記の2つの方式がある。
・スタティック(静的)フィルタリング
・ダイナミック(動的)フィルタリング
スタティック(静的)フィルタリングは、通信の制御ルールであるフィルタリングルールをあらかじめ固定的に設定する方式。スタティックフィルタリング方式によるフィルタリングルールの例を下記に示す。
ダイナミック(動的)フィルタリングは、リクエスト等の行きのパケットのセッション情報(IPアドレス、ポート番号、TCPヘッダのフラグ等)を記録してその応答パケットだけを通過させる方式。ダイナミックフィルタリング方式によるフィルタリングルールの例を下図に示す。
Webサーバーの通信に注目すると、ダイナミック(動的)フィルタリングでは、スタティックフィルタリングで必要だった番号4のルールが不要になる。ダイナミックフィルタリングでは、番号3のHTTPリクエストがファイアウォールを通過したタイミングで、その応答パケットを通過させるルールが動的に追加される。
例えば、送信元の端末のIPアドレスが10.10.10.1、宛先ポート番号が22500のHTTP通信の場合、以下に示すルールが動的に追加される。
◆ステートフルインスペクション機能
ファイルウォールは、送信元/宛先IPアドレス、トランスポート層プロトコル、送信元/宛先ポート番号でコネクションを識別し、通信を制御する機器。あらかじめ設定したルールに従い、「この通信は許可、この通信は拒否」というように、通信を選別して様々な脅威からシステムを守る。このファイアウォールの持つ通信制御機能の事を、「ステートフルインスペクション」という。
ステートフルインスペクションは、通信の許可/拒否を定義する「フィルタリングルール」と通信を管理する「コネクションテーブル」を用いて、通信を制御している。
ステートフルインスペクションは、パケット単位の制御だけではなく、セッション、すなわち、リクエストとレスポンスといった一連のメッセージングを監視して、より高度な通信の制御を行う。
セッション単位の制御の例を下記に示す。
このHPはファイアウォール(概要、基本機能)についてまとめたものです。
1-1 ファイアウォール(FW)とは
ファイアウォール(FW)とはネットワークにおいて、ポリシーまたはフィルタリングルールに基づき、パケットの通過・拒否・破棄を行うネットワーク機器、もしくはソフトウェアを指す。この名前は、延焼を食い止める「防火壁(firewall)」に因んでいる。
特にOSI参照モデルのネットワーク層(第3層)、トランスポート層(第4層)に相当するパケットの通信を制御する。
ファイアウォールによって、外部ネットワーク、DMZ、内部ネットワークに分けられる。外部ネットワークは、インターネットのような領域、内部ネットワークは社内ネットワーク。DMZは「非武装地帯」と訳し、内部ネットワークから隔離し、外部公開サーバーを置いておくファイアウォールで区分けされたネットワークを指す。
DMZを設置すると、公開サーバー等に対する直接的な攻撃をできるだけ少なくできる他、アクセスを許可するレベルに応じてネットワークを分けることができる。
つまり、ファイアウォールは下記の3つのネットワーク構成になる。
・社内ネットワーク(信頼ネットワークともいう)
・外部ネットワーク(信頼できないネットワークともいう)
・DMZ
1-2 ファイアウォールの基本機能
ファイアウォールの基本機能として、下記の4つがある。
@パケットフィルタリング機能
Aステートフルインスペクション機能
Bアドレス交換機能
Cログ収集機能
ここでは、@パケットフィルタリング機能とAステートフルインスペクション機能について見ていく。
◆パケットフィルタリング機能
パケットフィルタリングとは、IPパケットの送信元や宛先IPアドレス、TCP/UDPのポート番号、プロトコル種別等によって、IPパケットを通過させるかどうかのアクセス制御をおこなう機能のこと。
パケットフィルタリン機能には、下記の2つの方式がある。
・スタティック(静的)フィルタリング
・ダイナミック(動的)フィルタリング
スタティック(静的)フィルタリングは、通信の制御ルールであるフィルタリングルールをあらかじめ固定的に設定する方式。スタティックフィルタリング方式によるフィルタリングルールの例を下記に示す。
ダイナミック(動的)フィルタリングは、リクエスト等の行きのパケットのセッション情報(IPアドレス、ポート番号、TCPヘッダのフラグ等)を記録してその応答パケットだけを通過させる方式。ダイナミックフィルタリング方式によるフィルタリングルールの例を下図に示す。
Webサーバーの通信に注目すると、ダイナミック(動的)フィルタリングでは、スタティックフィルタリングで必要だった番号4のルールが不要になる。ダイナミックフィルタリングでは、番号3のHTTPリクエストがファイアウォールを通過したタイミングで、その応答パケットを通過させるルールが動的に追加される。
例えば、送信元の端末のIPアドレスが10.10.10.1、宛先ポート番号が22500のHTTP通信の場合、以下に示すルールが動的に追加される。
◆ステートフルインスペクション機能
ファイルウォールは、送信元/宛先IPアドレス、トランスポート層プロトコル、送信元/宛先ポート番号でコネクションを識別し、通信を制御する機器。あらかじめ設定したルールに従い、「この通信は許可、この通信は拒否」というように、通信を選別して様々な脅威からシステムを守る。このファイアウォールの持つ通信制御機能の事を、「ステートフルインスペクション」という。
ステートフルインスペクションは、通信の許可/拒否を定義する「フィルタリングルール」と通信を管理する「コネクションテーブル」を用いて、通信を制御している。
ステートフルインスペクションは、パケット単位の制御だけではなく、セッション、すなわち、リクエストとレスポンスといった一連のメッセージングを監視して、より高度な通信の制御を行う。
セッション単位の制御の例を下記に示す。
