ファイアウォールとは、内部ネットワーク(社内LAN)と外部ネットワーク(インターネット)を接続した時に、外部からの不正な侵入を防ぐためのシステムです。
ファイアウォールとは
インターネット)を接続する際に、その間に壁(WALL)を設けてアクセスをコントロールし、不正な侵入を防ぐためのシステムです。ファイアウォールには、IPアドレスのヘッダーをチェックしてパケットの振り分け行う簡単なパケットフィルタリング方式もあれば、専用のソフトウェアによる強固なガードを築くアプリケーションゲートウェイ方式など、さまざまな構築方法があります。
最近では、ファイアウォールにウイルス検出機能や認証機能などを付加した製品もあります。一般にセキュリティ強度が高くなればなるほど、パフォーマンス(通過時間)が悪くなります。セキュリティポリシーに基づき、社内LAN に必要なセキュリティ強度とパフォーマンスを考慮して、ファイアウォール製品を選択する必要があります。
パケットフィルタリング方式
パケットフィルタリング方式とは、パケットのヘッダーにある発信元アドレス情報や宛先アドレス情報、ポート番号(サービスの種類)などに基づいてフィルタリング(濾過)を行い、不必要なトラフィックを制限する方式です。つまり、受け取ったパケットをひとつひとつ調べ、ヘッダ情報に基づいて通過させるか否かを決定します。
基本的にはパケットを右から左へ流すだけですから、簡単な設定でパフォーマンスも高いというメリットがありますが、村象となる情報がパケットのヘッダー情報に限定されるため、データの内容に関する設定はできません。
また、社内LANとインターネットが分離されていない(送信側と受信側が直接パケットをやり取りする)ため、LANのIPアドレスがインターネットに流れるなどのデメリットがあります。社内LANのIPアドレスが外部に流れないようにするためには、アプリケーションゲートウェイ方式を利用するか、NAT:ネットワークアドレス変換。グローバルアドレスとプライベートアドレスの変換処理のことを用いることになります。NATは、複数の内部アドレスを単一の外部(グローバル)アドレスに置き換えます。これによって、内部アドレスを外部に出すことなく通信でき、外部からはこのグローバルアドレスに対してアクセスすることになります。
アプリケーションゲートウェイ方式
アプリケーションゲートウェイ方式とは、アプリケーション層でパケットの中継処理を行う、安全性の高いフィルタリング方式です。IP層でパケットの中継処理を行うパケットフィルタリング方式とは違い、外部ネットワークと内部ネットワークを完全に切り離した状態で、パケットの中継とアクセス制御を行います。
これは、アプリケーション層(たとえばHTTPプロトコル)で、プロキシと呼ばれるゲートウェイシステムを介在させることにより、特定のIPアドレスやポート番号だけを通過させるきめ細かなアプリケーションレベルのアクセス制御を行っています。
また、通過するパケットのIPアドレスについては、NAT機能により、内部ネットワークを隠蔽させたセキュリティ強度の高いフィルタリング制御を行っています。セキュリティ強度を高めるために、アプリケーションゲートウェイ方式を導入すると、パフォーマンスが低下するといったデメリットがあります。このためアクセス量の多いネットワーク環境には、パフォーマンスの優れたサーバーシステムが必要になります。
安全性を保証するのは運用監視
ファイアウォールの安全性は、製品の性能だけで決まるものではありません。24時間365日連続した運用監視が重要であり、運用監視の結果を確認することで、安全性が保証されます。これは、どんなに優れたファイアウォール製品を導入した場合でも運用監視が必要であり、アクセスの監視を行わないファイアウォールは、ハッキングされる恐れがあります。逆にいえば、低価格のファイアウォール製品でも運用監視を徹底して行うのであれば、安全性が保証されるというわけです。
最近では、ファイアウォールの製品を単体で購入するよりは、運用監視サービスとファイアウォールシステムのレンタルサービスがセットになったファイアウォール運用監視サービスが注目されています。
ポリシーに基づいた運用
ファイアウォールの安全性は、運用監視以外にもセキュリティポリシーに遵守したファイアウォールの運用管理が重要です。これは、担当者レベルで好き勝手なインターネットサービスの設定が可能なファイアウォールの運用ルールでは、運用管理の責任があいまいになることから、セキュリティ強度を弱める恐れがあります。ファイアウォールの運用は、経営者層が決定を下したポリシーに遵守した運用でなければなりません。最近では、必要最低限のサービスに制限したインターネット利用が重視される傾向にあります。
コメント