本文とサイドメニューへジャンプするためのナビゲーションスキップです。

スタートアップガイド

J-Net21 中小企業ビジネス支援サイト

  • J-Net21とは
  • スタートアップガイド
中小機構
  • メルマガ登録
  • RSS一覧
  • お問い合わせ

HOME > 製品・技術を開発する > デジ・ステーション

デジ・ステーション


初級ネットワーク講座
第17回 防火壁「ファイアウォール」の基礎知識

世界中で数億人に利用されているといわれるインターネット。この巨大なネットワークにアクセスすることで、顔も知らない多くの人とコミュニケーションを図ることができるのはよくご存じだろう。しかし、それは数億の人からアクセスされる可能性を含んでいることと同義であり、その中には意図しない不正なアクセスも少なからず含まれることになる。今回は、そんな不正なアクセスからパソコンなど内部ネットワークの情報資源を守る装置として活躍する「ファイアウォール」について説明する。

1 ファイアウォールの種類と機能

1-1 ファイアウォールってそもそも何だろう?

ファイアウォールは単純に訳すと「防火壁」のこと。一般的に防火壁は、炎による延焼や煙の流入を防ぐなど火災時の安全弁とも言える役割を持っている。また、防火壁は炎や煙を遮断する代わりに人間を通すための扉がついており、避難時にも出入りしやすいように設計されているのが一般的だ。
 ではネットワークの世界を火災現場に例えて考えてみよう。インターネットからは正当なパケット(人間)が入ってくる。しかし、インターネットから不正なパケット(炎や煙)が流れ込んでくることもあり、当然防がないといけない。そのために登場するのがファイアウォール(防火壁)である。ファイアウォールは、インターネットから内部ネットワークへの正当なパケットは通過させ、インターネットからの不正なパケットは阻止し内部ネットワークを安全に保つ役割を持っている。これをアクセス制御といい、内部ネットワークの情報資源の安全性を確保してくれる。

1-2 ファイアウォールの分類

ファイアウォールには様々な形態のものがあるが、大きくはインターフェースによる分類とOSI基本参照モデルによる分類がある。

インターフェースによる分類

2つ以上のネットワークインターフェースを持っているものが「デュアルホームドホスト」、1つしかないものを「ゲート」と呼ぶ。道路の交通規制に例えるならば、「デュアルホームドホスト」は車線を封鎖して全車両を検問しているようなものだ。それに対して「ゲート」は、道路の側道で検問しているようなものである。そのため、ゲートの場合は側道に車を誘導するための役割が別途必要になる。この誘導役にあたる機能を「チョーク機能」という。下記例ではルータがすべてのパケットをファイアウォール(ゲート)に振り向けるチョーク機能がないと意味がない。

図1 インターフェースによる分類

  図1 インターフェースによる分類


OSI基本参照モデルによる分類

ファイアウォールはOSI基本参照モデルのどの層で判断・動作するのかによって分類することもできる。大きくは、ネットワーク層とトランスポート層で機能するパケットフィルタリングと、セッション層で機能するサーキットレベルゲートウェイ、セッション層やプレゼンテーション層、アプリケーション層で機能するアプリケーションレベルゲートウェイの3つに大別できる。


パケットフィルタリング

図2 パケットフィルタリングの動作

図2 パケットフィルタリングの動作

OSI基本参照モデルのネットワーク層、トランスポート層で判断・動作する。ファイアウォールに入ってきたパケットについて、送信元IPアドレス、あて先IPアドレス(ネットワーク層)および、送信元ポート番号、あて先ポート番号(トランスポート層)を確認する。あらかじめファイアウォールに設定しておいたフィルタリングテーブルを検索して、合致するものがあれば指定の動作(通過または遮断)を行う。シンプルがゆえに他の方式よりも処理が高速ではあるが安全性は低く、フィルタリングテーブルの設定が煩雑になりやすく処理状況は分かりにくい。


サーキットレベルゲートウェイ

図3 サーキットレベルGWの動作

図3 サーキットレベルGWの動作

OSI基本参照モデルのセッション層で判断・動作する。一般的にはプロキシサーバのことを指す。セッション(会話)状態を認識したうえでアクセス制御が可能である。ファイアウォールの設定が容易だが、利用しているアプリケーションの設定変更が必要な場合がある。(例:利用者のパソコンがプロキシサーバ経由でインターネットにアクセスする場合、Webブラウザにプロキシサーバのアドレスを設定しなければならない)


アプリケーションレベルゲートウェイ

図4 アプリケーションレベルGWの動作

図4 アプリケーションレベルGWの動作

OSI基本参照モデルのセッション層、プレゼンテーション層、アプリケーション層で判断・動作する。プロキシサーバとも単にゲートウェイとも呼ばれる。メール用、業務アプリケーション用、VPNゲートウェイ用などアプリケーションプロトコルごとに個別のゲートウェイ・プログラムが必要となる。アプリケーションレベルのデータまで見て判断するため高度な識別が可能となり、他の方式に比べて安全性が高い。また処理状況の把握が容易となる。その反面、他の方式に比べて処理速度が遅くなる。最近はサーキットレベルも含めてアプリケーションレベルゲートウェイと呼ばれることが多い。アプリケーションレベルゲートウェイだけの機能を持つ製品もあれば、パケットフィルタリング機能を併せ持つアプリケーションレベルゲートウェイ製品もある。


1-3 ファイアウォールが持つ機能

パケットフィルタリング

低価格のブロードバンドルータなどにファイアウォール機能がついている場合、すぐ使えるように標準設定されていることが多い。しかし、一般的なファイアウォールは購入して接続しただけではきちんと機能しないものだ。例えばパケットフィルタリングタイプのファイアウォールの場合、以下のようなフィルタリングテーブルを持っており、これを設定しておかないと意味がない。

フィルタリングテーブルは少なくとも、送信元IPアドレス、あて先IPアドレス、送信元ポート番号、あて先ポート番号、動作の項目を持っているのが一般的で、それぞれの行を「ルール」と呼ぶ。ファイアウォールにパケットが入って来ると、設定されているフィルタリングテーブルのルールの上から順々に、そのパケットと条件が合致するか検索していく。つまり、ルールの上のほうが優先されるのである。例えば以下のように設定したとしよう。

設定Aと設定Bは単に順番を入れ替えただけだが、ここに以下のようなパケットが入ってきたとしよう。
   送信元IPアドレス:192.168.1.1
   あて先IPアドレス:10.1.1.1
   送信元ポート番号:1234
   あて先ポート番号:53

 設定Aの場合、このパケットはルール1と合致しないがルール2と合致するのでその動作である「許可」、すなわちパケットを通過させる。設定Bの場合、このパケットはルール1と合致するのでその動作である「禁止」、すなわちパケットを遮断することになる。このように、ルールの順番を入れ替えただけでまったく異なる動作になるため、ルールの順番は非常に重要である。また、不必要なルールを設定すると検索に時間がかかり遅延が大きくなる。情報セキュリティポリシーに基づき、効率的なルールの設定が必要となる。

 フィルタリングテーブルの基本は原則(デフォルト)禁止である。設定の順番としては、まずフィルタリングテーブルの一番下に以下のルールを設定する。このルールは、すべての通信を禁止(遮断)させる。ただし、これだけだとLANケーブルで接続されているはずのネットワークでも、事実上は通信できないために接続していないのと同じことになってしまう。そこで、このルールの上側に許可(通過)させるパケットの組み合わせを適宜設定していく。すなわち、許可(通過)させるパケットは例外的なのである。

コラム:「ファイアウォール」と「ファイヤウォール」
 Fire:この発音は「ファイア」よりも「ファイヤ」のほうが近いと言えるだろう。戦後からしばらくは英語の発音に近いカタカナ表記で教育されていたため、50代以上の方は「ファイ《ヤ》ウォール」と記述される方も少なくないようだ。その後、当時の文部省の方針により現代使われているようなカタカナ表記での教育になったため、20〜30代の方はごく自然に「ファイ《ア》ウォール」と記述している。実は、初期の頃の情報処理技術者試験では「ファイ《ヤ》ウォール」と表記されていたが、いつのまにか試験でも「ファイ《ア》ウォール」と表記されるように。記述式や論述式試験で「ファイ《ヤ》ウォール」と書いても誤りではないのだが・・・
ステートフル・インスペクション/動的ルール

上述したフィルタリングテーブルは、ネットワークまたはセキュリティ管理者が手動設定する。そのため、一度設定すると管理者が設定変更しない限り、固定的で変更されない。しかし、ファイアウォール自身がフィルタリングテーブルを自動的に書き換える製品もある。主にIDS(Intrusion Detection System/侵入検出システム)またはIPS(Intrusion Prevention System/侵入防止システム)との連係によってルールが書き換わるのだ。
 例えば、IDSが不正侵入(または、その兆し)を検出したとしよう。IDSから管理者に通知するとともにファイアウォールにも通知が届く。そこでステートフル・インスペクション機能を持つファイアウォールは、フィルタリングテーブルのルールを書き換える。例えば、特定のIPアドレスから不正侵入を試みたと判断した場合、そのIPアドレスからのパケットを禁止にするなどの動作を行う。極端に言えば、動的にすべての通信を禁止にすることもできるようになっている。高価な製品になるとIDS、IPS機能を内蔵したファイアウォールもあり、アプリケーションレベルのデータまで判断できるものもある。この場合、IPパケットのヘッダ情報だけでなく時間や履歴も判断する。

DMZ(非武装セグメント)

ファイアウォールは、守りたい内部ネットワークと外部ネットワークの間に1台置くよりも、直列に2台設置することでより強固な構成となる。この場合、ファイアウォールを直列に2台並べることによって、ファイアウォールごとに3つのゾーンができる。ここでインターネットに近いファイアウォールを仮に外側のファイアウォールと呼び、内部ネットワークに近いファイアウォールを内側のファイアウォールと呼ぶことにする。まず、外側のファイアウォールよりインターネット側をバリアセグメントと呼ぶ。一般的には通信装置は置かず、LANケーブルだけのネットワークとなる。次に、外側のファイアウォールと内側のファイアウォールの間はDMZ(DeMilitarized Zone)といい、「非武装セグメント」とも呼ばれる。つまり武装していないセグメントのことである。

図5 DMZの考え方

  図5 DMZの考え方


ファイアウォールを直列に2台並べるといっても、「第一関門・第二関門」「一次審査・二次審査」といった概念ではない。DMZを設ける目的は、あくまでも危険なインターネットと守るべき内部ネットワークにあるサーバやパソコンを直接通信させないことにある。これによって、インターネットから内部ネットワークへの直接攻撃を防ぐことができる。そのため、設定では以下を原則とする。なお、内部ネットワークの社内用サーバ・パソコンからインターネットへの方向は、直接通信させてもよさそうに思えるが、踏み台による第三者攻撃の防止やアドレスなどの内部情報を外部に漏洩させないために禁止する。

DMZに設置する装置は、インターネットと内部ネットワークともに通信可能なため、Webサーバやメールサーバなどインターネットに公開するサーバを設置する。また内部ネットワークにあるパソコンからは直接インターネットとアクセスできないため、プロキシサーバをDMZに設置する。これによって内部ネットワークにあるパソコンは、DMZにあるプロキシサーバを介してインターネット上にあるWebサーバと通信することが可能となる。
 上図の通り、2台のファイアウォールがあればDMZを設置し、内部ネットワークがより安全となる。今は、3つのインターフェース(そのうち1つはDMZ)を持つファイアウォールが主流である。どうせ2台のファイアウォールを設置してDMZを確保するのであれば、上図太枠部分を1つの筐体にしてしまおう、という考えである。3つのインターフェースを持つファイアウォールは、実はその中にファイアウォールが2台入っていると考えてよい。

【次号予告】
 ルータの一番の役割は、その名の通り経路を制御することである。ルータに届いたパケットを的確に目的地の方向に導く、いわゆる道案内の役である。現在用いられている経路制御の種類や概要、その仕組み、そして、経路制御の中でも最も基本的なプロトコルであるRIPについて具体的に説明する。

取材協力 : 株式会社アイテック

掲載日:2009年4月15日

キーマンズネット

出典元:株式会社リクルート キーマンズネット 2009年3月10日掲載分

検索

このページの先頭へ