I-20-10. ファイアウォールの仕組みとアクセス制御/フィルタリングの設定方法

ネットワークセキュリティの重要技術であるアクセス制御とフィルタリングについて説明し、その実装であるファイアウォールの機能と設定方法、運用の考え方について解説する。

【学習の要点】

* アクセス制御とフィルタリングによって、外部からの不正アクセスをブロックすることができる。

* ファイアウォールはアクセス制御とフィルタリングを行う効果的なシステムだが、ファイアウォール以外の部分でもセキュリティを確保することが重要である。

図I-20-10. ファイアウォールの仕組み

【解説】

1) アクセス制御とフィルタリング

アクセス制御とは、情報や機能へのアクセス要求に対し、以下のような情報をもとにアクセス可否を判断し、判断結果によってアクセスを拒否する仕組みである。

* アクセス要求者

* アクセス日時

* アクセス場所

* アクセス手段

また、フィルタリング(パケットフィルタリング)とは、送られてきたパケットを検査してふるいにかけ、通過させるか破棄するか判断する機能である。アクセス制御とフィルタリングはネットワークセキュリティの重要技術であり、アクセス制御により許可を与えられたパケットのみフィルタを通過させることで、ネットワークのセキュリティを確保するものである。

2) ファイアウォールの機能

ファイアウォールは、あらかじめ設定されたルールに従って、アクセス制御とフィルタリングを行う。

* パケットフィルタ型

IPヘッダやTCPヘッダに含まれる情報を、パケット通過/破棄の判断基準とする、基本的なフィルタリングを行うもの。判断基準とする情報には、送信元IPアドレス/ポート番号、宛先IPアドレス/ポート番号、プロトコル、パケット方向などがある。アプリケーション毎にアクセス制御を切り替える場合は、ポート番号を利用する。

* アプリケーションプロキシ型

パケットフィルタ型が主にOSI参照モデルの第3~4層の情報を判断基準とするのに対し、第7層までのアプリケーションレベルの情報を判断基準とする。同一アプリケーション内で機能別に判断したりすることができ、細かいアクセス制御が可能だが、その分処理負荷がかかる。

* ステートフルインスペクション型単純なパケットフィルタ型ではパケットを個別に判断するだけだが、過去のパケットの一部の情報も記憶して、通信状態を加味した判断基準を提供する。例えばTCPの応答パケットが正常な応答かどうかを判断することができる。アプリケーションプロキシ型とのハイブリッド型もある。

3) ファイアウォールの設定方法

パケットフィルタ型の場合、上に挙げたような情報(送信元IPアドレス/ポート番号、宛先IPアドレス/ポート番号、パケット方向など)の値のパターンを入力し、そのパターンに一致した場合に、パケットを通すか破棄するかを設定する。このようなパターンを複数設定することができる。

4) ファイアウォールの運用の考え方

ファイアウォールでは、ルール上許可したプロトコルを用いた攻撃を防ぐことはできない。また、ウィルスやワームなどを防ぐことにも限界がある。ファイアウォール単体でセキュリティを考えるのではなく、セキュリティポリシーに基づき、IDSやウィルス対策ソフトウェアと併用するなど、システム全体としてのセキュリティを考慮しなければならない。

OSS Course Naviのコンテンツは IPA OSS モデルカリキュラムを基としています。