【図解】FW/UTM や Linux firewalld のゾーンとは何か?ゾーンベースポリシーによるアクセス制御 | SEの道標
ファイアウォール

【図解】FW/UTM や Linux firewalld のゾーンとは何か?ゾーンベースポリシーによるアクセス制御

従来方式(インタフェースベースポリシー)の問題点

ファイアウォールというNW機器が出来たばかりの頃、ACLポリシーは『どの送信元インタフェースからどの宛先インタフェースへ抜ける通信に関するポリシーか』というセクション単位で設定するのが一般的でした。今では『インタフェースベースポリシー』モデルと呼ばれています。

この書き方は単に送信元/宛先IPのみで決めるより柔軟な設定が可能でしたが、インタフェースの数が増えるとポリシー設定もどんどん増えていく、という性質がありました。

実装され始めた当初は好評でしたが、時代が移り、セキュリティの需要増やトラフィックパターン増に伴い、ポリシーが複雑になる中で、このインタフェースべースの考え方では耐え切れなくなってきました。

例えばインターネットの出口が複数ある場合、従来の書き方だとそれぞれに同じ設定を同じ数だけ書く必要がありました。

そこで登場したのが『ゾーンベースポリシー』モデルです。この考え方を導入した機器では、複雑なポリシーをシンプルに統合できるようになりました。

ゾーンベースポリシーとは

ゾーンベースポリシーモデルでは、まず各インタフェースをどのゾーンに属させるかを設定します。ゾーンはそのインタフェースの性質でグループ化し、名前は任意に付けることが可能です(大抵は事前定義のものもあります)。

例えば、インターネット向かいのインタフェース WAN1 と WAN2 は共に『External』というゾーンに設定、Web サーバ系 DMZ サーバ向かいのインタフェース DMZ1 と DMZ2 は『DMZ_Web』というゾーンに設定、一般 PC が収容されるコアスイッチ向かいのインタフェース LAN1 と LAN2 は『LAN_Gen』というゾーンに設定します。

すると LAN_Gen から External に抜ける通信については、わざわざ "LAN1 から WAN1"、"LAN1 から WAN2"、"LAN2 から WAN1"、"LAN2 から WAN2" と 4 つのセクション毎にポリシーを書かなくても、"LAN_GenからExternal" と 1 つのセクションだけに統合して書くことができます。

つまり、ゾーンとは、その性質 (インターネットに抜けるインタフェースなのか、重要機器に繋がるインタフェースなのか、特殊な制御が必要な機器に繋がるインタフェースなのか、等) に応じて付けるラベルのことです。

なのでゾーンベースポリシーモデルとは、インタフェース単位では無く、性質単位で制御するアクセス制御方式のことを言います。

このゾーンベースの考え方は FortiGate や PaloAlto 等、主流 FW/UTM 装置であればたいてい実装されています。

Linux firewalld の zone

Linux では最近は TCP/IP レベルでのアクセス制御は iptables に代わり、firewalld が実装されています。

この firewalld も ゾーン (zone) の概念を持っています。事前定義の zone があるのでこれらを使うのが一般的ですが、以下コマンドで新たに作成することもできます。

# firewall-cmd --new-zone OriginalZ --permanent

この firewalld の zone も、扱いとしてはNW機器のゾーンと一緒で、インタフェースの性質毎(サービス用インタフェース、管理用インタフェース、等)にzone を分け、性質単位でアクセス制御することができます。

詳細は以下ページをご参照下さい。

【firewalld(firewall-cmd)】Zone の作成, 追加, 削除, インタフェースのZone変更
firewalld の Zone とは firewalld では Zone とい...

【厳選 4 冊】ネットワークセキュリティを学ぶための本

サイバー攻撃に対抗せよ。UTMを使った企業LANの構築/管理を徹底解説。ファイアウォールやアンチウイルスなどによる防御。拠点間を安全につなぐインターネットVPN。Office365などのクラウド利用に役立つSD‐WAN。FortiOS6対応。ネットワークエンジニア必読!
本書では、セキュリティエンジニアとして押さえておきたい知識や技術などを、体系的に、わかりやすく解説しています。セキュリティ業務に関わる2~3年目のエンジニアはもちろん、一般社員のセキュリティリテラシー向上にも役立つ1冊です。
【想定する読者層】・セキュリティの初学者・ハッカーにあこがれている人・CTFに興味がある人、または参加している人・WindowsとLinuxの混在環境を構築したい人・コンピュータ愛好家・Linux初心者
Windows(ウィンドウズ)、Linux(リナックス)に始まり、現在主流となっているCloud(クラウド)、Phishing(フィッシング)、そして禁断となっている(マルウェア)に至るまで、具体的な最新情報をそれぞれ選りすぐり解説しています。

コメント

タイトルとURLをコピーしました