【初心者に分かり易い】ファイアウォールの仕組み〜機能, 種類, ルータとの違い, 機器メーカー等

ファイアウォールとは

ファイアウォールとは、IP 通信のアクセス制御を行い、不正な通信を拒否する仕組みを持つ機器です。

ここで言う不正な通信とは、あらかじめ許可すると決められた送信元、宛先、TCP/UDP のポート番号のセット以外の通信(つまりあらかじめ通信してはいけないと決められている通信)のことです。 (後述する悪意のある通信とは異なりますので注意して下さい。)

あらかじめ許可する通信、拒否する通信を決めることを『ポリシーを決める』と呼び、これらの通信ルールをポリシー、セキュリティポリシー、ルール等と呼びます(メーカにより異なります)。

ファイアウォールではまず、このポリシーを設定します。ファイアウォールはその設定の通りに通信の許可・拒否を実行します。

例えば、『送信元 IP : 192.168.1.1, 送信元ポート番号 : any ⇒ 宛先 IP :  192.168.30.1, 宛先ポート番号 : 80 のみを 通信許可する』というポリシーを決めた場合、これ以外の通信を不正な通信とし、パケットを破棄します。

ファイアウォールの種類と例

ファイアウォールには大きく分けて 2 種類あります。

  1. NW 機器のファイアウォール
  2. PC 等の端末のソフトウェアとして提供・設定されるファイアウォール

1. NW機器のファイアウォール

下記に、1. の NW 機器のファイアウォールの動作例を示します。

NW 機器のファイアウォールのルータとの機能の大きな違いは『ステートフル・インスペクション』と『UTM』です。UTM については前述した、悪意ある通信も検知・ブロックすることができます。

ファイアウォール製品のメーカーや種類としては、PaloAlto 社の PA シリーズ、Fortinet 社の FortiGate シリーズ、Cisco 社の ASA シリーズ、Juniper 社の SRX シリーズ、SonicWall 社の NSA シリーズ、チェックポイント社の SG シリーズなどがあります。

また、最近のトレンドとしてはアプリケーション識別ユーザ識別などが可能な次世代ファイアウォールがシェアを伸ばしてきています。

アプリケーション識別では、ポート番号ではなく、通信の中身を見て識別。例えば tcp : 80 番以外であっても http の通信であれば許可する設定ができたり、ポート番号を指定せずに P2P ソフトを拒否する設定ができたりします。もう少し詳細をこの記事に書いています

また、ユーザ識別では、FW を通過する際に特定の送信元/宛先の通信については Web 認証 (CaptivePortal 認証) をさせたり、AD 連携により AD 認証の情報を引っ張ってきて IP とユーザを紐づけ、セキュリティポリシーにユーザを特定したり、ログ上に IP だけでなくユーザ名を表示させることができたりします。

2. PCやサーバ等にソフトウェアとして提供・設定されるファイアウォール

PC やサーバ等にソフトウェアとして提供・設定されるファイアウォールには、Windows ファイアウォール、Linux の firewalldTCP wrapperiptablesアンチウィルスソフトに付属している ファイアウォールがあります。

起動している PC 宛に Ping が飛ばない場合は、これらの FW を確認し、一時的に OFF にして確認してみると良いでしょう。