ファイアウォールについて

情報処理安全確保支援士

ファイアウォールとはレイア4のTCP/IPの層でアクセス制御を行う装置です。
ただし、最近のファイアウォール製品は、その機能以上にIDS/IPS,アンチウイルス、アンチスパム、Webフィルタリングといった機能を持ち、「UTM装置」と言われます。

さらに、Skype,Facebook,Twitter,YouTubeなどのアプリケショーン制御の機能を持つものを「次世代ファイアウォール」と呼ばれたりもします。

 

ファイアウォールの種類

ファイアウォールには様々な仕組みがあります。

・パケットフィルタリング型
宛先IPアドレス、送信元IPアドレス、サービスのポート番号によって、制御を行います。
ルータなどL3機能を有する機器で設定が可能です。

 

・アプリケーションゲートウェイ型
HTTP,HTTPS,FTPなどアプリケーションごとにプロキシを持ち、
そのプロキシによってアプリケーション層も含めた制御を行います。
IPアドレス、ポート番号に加え、ペイロードに含まれる情報もチェックします。

これは一般的なプロキシサーバの仕組みになります。

 

・サーキットレベルゲートウェイ型
アプリケーションゲートウェイ型と同様にファイアウォールが中継となり、
L4レベルで制御を行います。
ペイロードに含まれる情報についてはチェックしません。

フリープロキシである「SOCKS」はこの仕組みを提供しています。

 

・ステートフルインスペクション型
パケットフィルタリング型は、行き帰りの通信を制御する必要がありますが、
ステートフルインスペクション型は、最初にコネクションを確立する方向のみの設定で
フィルタリングが可能になります。

一般的なファイアウォール製品はこの仕組みを実装しています。
元々は、チェックポイント社が開発し、特許を保有しています。

 

ファイアウォールの構成

ファイアウォールは一般的にゾーンと呼ばれるセグメントごとに
セキュリティレベルを分けた構成をとります。

Trust・・・内部ネットワーク
Untrust・・・外部ネットワーク、インターネット側
DMZ(非武装地帯)・・・中間ネットワーク、公開サーバを設置

FW_Zone

 

ファイアウォールの冗長化

ファイアウォールはインターネット出口に設置するものが多く、
機器障害が発生した場合、クライアントのあらゆるネットワーク活動が不能となってしまいます。

そのため、ほぼ必ずと言っていいほど、
冗長化構成をとります。

冗長化の方式としては
アクティブ-アクティブ
アクティブ-スタンバイ
がありますが、一般的にはアクティブ-スタンバイ構成を取ることが多いとおもいます。

以下、アクティブ-スタンバイ方式における障害時の動作と
ファイアウォール + スイッチの一般的な冗長構成例です。

FW_冗長化

 

コメント

タイトルとURLをコピーしました