ネットワークの境界において、外部からの不正なアクセスを防ぐための「防火壁」として機能するのがファイアウォール(FW)です。
前回の「WAF・IDS・IPS」の記事では、より高度な攻撃を防ぐための実働部隊について解説しましたが、それらが真価を発揮するためには、まず土台となるファイアウォールが適切に機能していなければなりません。今回は、ファイアウォールの基本原理から、パケットフィルタリングの仕組み、そして最新の次世代ファイアウォールまでを詳しく解説します。
ファイアウォールの基本役割:ネットワークの「門番」
ファイアウォールは、インターネットのような外部ネットワークと、社内LANなどの内部ネットワークの境界に設置されます。
その役割は、あらかじめ設定された「セキュリティポリシー(ルール)」に基づいて、通過しようとするパケットを検査し、「許可(Allow)」するか「破棄(Deny/Drop)」するかを判断することです。これにより、信頼できない外部からの侵入を遮断し、内部のコンピュータを保護します。
パケットフィルタリングの仕組み
ファイアウォールの最も基本的な動作が「パケットフィルタリング」です。パケットのヘッダー情報(OSI参照モデルのL3・L4層)を見て、通過の可否を判断します。
フィルタリングの判断基準
主に以下の情報の組み合わせによって、アクセス制御(ACL:Access Control List)を定義します。
- 送信元・宛先のIPアドレス: どのコンピュータからの通信か。
- 送信元・宛先のポート番号: どのアプリケーション(サービス)への通信か。
- プロトコル: TCP、UDP、ICMPなどの種類。
- 通信の方向: 外部から内部か、内部から外部か。
例えば、「外部(Any)から内部のWebサーバー(80番ポート)への通信のみを許可し、それ以外はすべて遮断する」といったルールを作成します。
進化するファイアウォールの種類
パケットのどこまでを、どのように検査するのかによって、ファイアウォールはいくつかの世代に分けられます。
① スタティックパケットフィルタリング(静的)
パケットを一つひとつ独立して検査します。設定がシンプルですが、「返りの通信(外部からの応答)」も個別に許可設定しておく必要があり、セキュリティホールになりやすい欠点があります。
② ステートフルパケットフィルタリング(動的)
通信の「文脈(ステート)」を管理する方式です。内部から外部へ送った通信の「戻りパケット」であることを自動的に認識し、一時的に許可を出します。現在のファイアウォールの標準的な機能です。
③ アプリケーションゲートウェイ方式
「プロキシサーバー」を介して通信を中継する方式です。L7(アプリケーション層)レベルまで細かく検査できますが、中継による処理負荷が大きく、通信速度が低下しやすいのが難点です。
次世代ファイアウォール(NGFW)の登場
近年、従来のファイアウォールでは防ぎきれない攻撃が増えたため、「次世代ファイアウォール(NGFW)」が主流となっています。
従来のファイアウォールが「ポート番号(例:443番)」だけで判断していたのに対し、NGFWは「アプリケーションの中身(例:Facebook、YouTube)」を直接識別します。
また、単なるフィルタリング機能だけでなく、前回解説した「IPS(侵入防止システム)」や、アンチウイルス、URLフィルタリングなどの機能を一つのハードウェアに統合した「UTM(統合脅威管理)」としても利用されます。
【実務・試験対策】フィルタリングルールの鉄則
実務でファイアウォールを運用する際、また情報処理技術者試験(FE/AP)を解く際、非常に重要な考え方が「デフォルト・デナイ(Default Deny)」です。
デフォルト・デナイとは: 「許可された通信以外は、すべて拒否する」という設定方針です。ルールの最後に「すべて拒否」という設定を置くことで、設定ミスによる不正侵入のリスクを最小限に抑えます。
また、設定ミスを避けるために、ルールは「上から順に適用される」という優先順位を意識することも重要です。
まとめ
ファイアウォールは、ネットワークセキュリティにおいて最初に導入すべき、最も基本的な防壁です。
- L3/L4レベルの情報を元に、通信の「門番」として機能する。
- ステートフルパケットフィルタリングにより、動的な通信管理を行う。
- 近年では、アプリケーションを識別する次世代ファイアウォールへの移行が進んでいる。
- デフォルト・デナイの設定方針こそが、セキュリティの基本である。
次回は、外出先や自宅から社内ネットワークへ安全に接続するための技術、「VPN(仮想専用線)」について解説します。
コメント