ファイアウォールとはレイア4のTCP/IPの層でアクセス制御を行う装置です。
ただし、最近のファイアウォール製品は、その機能以上にIDS/IPS,アンチウイルス、アンチスパム、Webフィルタリングといった機能を持ち、「UTM装置」と言われます。
さらに、Skype,Facebook,Twitter,YouTubeなどのアプリケショーン制御の機能を持つものを「次世代ファイアウォール」と呼ばれたりもします。
ファイアウォールの種類
ファイアウォールには様々な仕組みがあります。
・パケットフィルタリング型
宛先IPアドレス、送信元IPアドレス、サービスのポート番号によって、制御を行います。
ルータなどL3機能を有する機器で設定が可能です。
・アプリケーションゲートウェイ型
HTTP,HTTPS,FTPなどアプリケーションごとにプロキシを持ち、
そのプロキシによってアプリケーション層も含めた制御を行います。
IPアドレス、ポート番号に加え、ペイロードに含まれる情報もチェックします。
これは一般的なプロキシサーバの仕組みになります。
・サーキットレベルゲートウェイ型
アプリケーションゲートウェイ型と同様にファイアウォールが中継となり、
L4レベルで制御を行います。
ペイロードに含まれる情報についてはチェックしません。
フリープロキシである「SOCKS」はこの仕組みを提供しています。
・ステートフルインスペクション型
パケットフィルタリング型は、行き帰りの通信を制御する必要がありますが、
ステートフルインスペクション型は、最初にコネクションを確立する方向のみの設定で
フィルタリングが可能になります。
一般的なファイアウォール製品はこの仕組みを実装しています。
元々は、チェックポイント社が開発し、特許を保有しています。
ファイアウォールの構成
ファイアウォールは一般的にゾーンと呼ばれるセグメントごとに
セキュリティレベルを分けた構成をとります。
Trust・・・内部ネットワーク
Untrust・・・外部ネットワーク、インターネット側
DMZ(非武装地帯)・・・中間ネットワーク、公開サーバを設置
ファイアウォールの冗長化
ファイアウォールはインターネット出口に設置するものが多く、
機器障害が発生した場合、クライアントのあらゆるネットワーク活動が不能となってしまいます。
そのため、ほぼ必ずと言っていいほど、
冗長化構成をとります。
冗長化の方式としては
アクティブ-アクティブ
アクティブ-スタンバイ
がありますが、一般的にはアクティブ-スタンバイ構成を取ることが多いとおもいます。
以下、アクティブ-スタンバイ方式における障害時の動作と
ファイアウォール + スイッチの一般的な冗長構成例です。
コメント