【セキュリティ初心者向け】ファイアウォールの仕組み〜機能, 種類, ルータとの違い, 機器メーカー等

ファイアウォールとは

ファイアウォールとは、IP通信のアクセス制御を行い、不正な通信を拒否する仕組みを持つ機器です。

ここで言う不正な通信とは、あらかじめ許可すると決められた送信元、宛先、TCP/UDPのポート番号のセット以外の通信(つまりあらかじめ通信してはいけないと決められている通信)のことです。 (後述する悪意のある通信とは異なりますので注意して下さい。)

あらかじめ許可する通信、拒否する通信を決めることを『ポリシーを決める』と呼び、これらの通信ルールをポリシー、セキュリティポリシー、ルール等と呼びます(メーカにより異なります)。ファイアウォールにはこの設定がされており、その設定の通りに通信の許可・拒否を実行します。

例えば、『送信元IP: 192.168.1.1, 送信元ポート番号: any ⇒ 宛先IP: 192.168.30.1, 宛先ポート番号: 80のみを 通信許可する』というポリシーを決めた場合、これ以外の通信を不正な通信とし、パケットを破棄します。

ファイアウォールの種類と例

ファイアウォールには大きく分けて2種類あります。

  1. NW機器のファイアウォール
  2. PC等の端末のソフトウェアとして提供・設定されるファイアウォール

1. NW機器のファイアウォール

下記に、1. のNW機器のファイアウォールの動作例を示します。

NW機器のファイアウォールのルータとの機能の大きな違いは『ステートフル・インスペクション』と『UTM』です。UTMについては前述した、悪意ある通信も検知・ブロックすることができます。

ファイアウォール製品のメーカーや種類としては、PaloAlto社のPAシリーズ、Fortinet社のFortiGateシリーズ、Cisco社のASAシリーズ、Juniper社のSSGシリーズ、SonicWall社のNSAシリーズ、チェックポイント社のSGシリーズなどがあります。

また、最近のトレンドとしてはアプリケーション識別ユーザ識別などが可能な次世代ファイアウォールがシェアを伸ばしてきています。

アプリケーション識別では、ポート番号ではなく、通信の中身を見て識別。例えばtcp80番以外であってもhttpの通信であれば許可する設定ができたり、ポート番号を指定せずにP2Pソフトを拒否する設定ができたりします。もう少し詳細をこの記事に書いています

また、ユーザ識別では、FWを通過する際に特定の送信元/宛先の通信についてはWeb認証(CaptivePortal認証)をさせたり、AD連携によりAD認証の情報を引っ張ってきてIPとユーザを紐づけ、セキュリティポリシーにユーザを特定したり、ログ上にIPだけでなくユーザ名を表示させることができたりします。

2. PCやサーバ等にソフトウェアとして提供・設定されるファイアウォール

PCやサーバ等にソフトウェアとして提供・設定されるファイアウォールには、Windowsファイアウォール、LinuxのfirewalldTCP wrapperiptablesアンチウィルスソフトに付属している ファイアウォールがあります。

起動しているPC宛にPingが飛ばない場合は、これらのFWを確認し、一時的にOFFにして確認してみると良いでしょう。

シェアする

  • このエントリーをはてなブックマークに追加

フォローする