【初心者に分かり易い】ファイアウォールの仕組み〜機能, 種類, ルータとの違い, 機器メーカー等

ファイアウォールとは

ファイアウォールとは、IP 通信のアクセス制御を行い、不正な通信を拒否する仕組みを持つ機器です。

ここで言う不正な通信とは、あらかじめ許可すると決められた送信元、宛先、TCP/UDP のポート番号のセット以外の通信(つまりあらかじめ通信してはいけないと決められている通信)のことです。 (後述する悪意のある通信とは異なりますので注意して下さい。)

あらかじめ許可する通信、拒否する通信を決めることを『ポリシーを決める』と呼び、これらの通信ルールをポリシー、セキュリティポリシー、ルール等と呼びます (メーカにより異なります)。

ファイアウォールではまず、このポリシーを設定します。ファイアウォールはその設定の通りに通信の許可・拒否を実行します。

例えば、『送信元 IP : 192.168.1.1, 送信元ポート番号 : any ⇒ 宛先 IP :  192.168.30.1, 宛先ポート番号 : 80 のみを 通信許可する』というポリシーを決めた場合、これ以外の通信を不正な通信とし、パケットを破棄します。

ファイアウォールの種類と例

ファイアウォールには大きく分けて 2 種類あります。

  1. NW 機器のファイアウォール
  2. PC 等の端末のソフトウェアとして提供・設定されるファイアウォール

1. NW機器のファイアウォール

下記に、1. の NW 機器のファイアウォールの動作例を示します。

NW 機器のファイアウォールのルータとの機能の大きな違いは『ステートフル・インスペクション』と『UTM』です。UTM については前述した、悪意ある通信も検知・ブロックすることができます。

ファイアウォール製品のメーカーや種類としては、PaloAlto 社の PA シリーズ、Fortinet 社の FortiGate シリーズ、Cisco 社の ASA シリーズ、Juniper 社の SRX シリーズ、SonicWall 社の NSA シリーズ、チェックポイント社の SG シリーズなどがあります。

また、最近のトレンドとしてはアプリケーション識別ユーザ識別などが可能な次世代ファイアウォールがシェアを伸ばしてきています。

アプリケーション識別では、ポート番号ではなく、通信の中身を見て識別。例えば tcp : 80 番以外であっても http の通信であれば許可する設定ができたり、ポート番号を指定せずに P2P ソフトを拒否する設定ができたりします。

もう少し詳細については以下をご参照下さい。

また、ユーザ識別では、FW を通過する際に特定の送信元/宛先の通信については Web 認証 (CaptivePortal 認証) をさせたり、AD 連携により AD 認証の情報を引っ張ってきて IP とユーザを紐づけ、セキュリティポリシーにユーザを特定したり、ログ上に IP だけでなくユーザ名を表示させることができたりします。

2. PCやサーバ等にソフトウェアとして提供・設定されるファイアウォール

PC やサーバ等にソフトウェアとして提供・設定されるファイアウォールには、Windows ファイアウォール、Linux の firewalldTCP wrapperiptablesアンチウィルスソフトに付属しているファイアウォールがあります。

起動している PC 宛に Ping が飛ばない場合は、これらの FW を確認し、一時的に OFF にして確認してみると良いでしょう。

【厳選 4 冊】ネットワークセキュリティを学ぶための本

サイバー攻撃に対抗せよ。UTMを使った企業LANの構築/管理を徹底解説。ファイアウォールやアンチウイルスなどによる防御。拠点間を安全につなぐインターネットVPN。Office365などのクラウド利用に役立つSD‐WAN。FortiOS6対応。ネットワークエンジニア必読!
本書では、セキュリティエンジニアとして押さえておきたい知識や技術などを、体系的に、わかりやすく解説しています。セキュリティ業務に関わる2~3年目のエンジニアはもちろん、一般社員のセキュリティリテラシー向上にも役立つ1冊です。
【想定する読者層】・セキュリティの初学者・ハッカーにあこがれている人・CTFに興味がある人、または参加している人・WindowsとLinuxの混在環境を構築したい人・コンピュータ愛好家・Linux初心者
Windows(ウィンドウズ)、Linux(リナックス)に始まり、現在主流となっているCloud(クラウド)、Phishing(フィッシング)、そして禁断となっている(マルウェア)に至るまで、具体的な最新情報をそれぞれ選りすぐり解説しています。

IT/インフラエンジニアの地位とスキル向上のために

関連記事

IT 技術の進化はとどまることを知りません。矢継ぎ早に新たな技術が出てきたり、数年前の技術が時代遅れになったりと、IT エンジニアは勉強し続ける運命のようです。 それをどう思うかはあなた次第。 ビジネスの基本は『付加価値を与える[…]

IMG
関連記事

nesuke の考える NW エンジニアの2つの道 ネットワークエンジニアには 2 つの道があります。 1 つはネットワーク構築一筋で、L4 までをひたすらきっちりと構築していく道。 もう 1 つはネットワークを軸として深堀し[…]

IMG