Web教材一覧ネットワークネットワークセキュリティ技術

ファイアウォール

インターネットなど外部ネットワークから社内ネットワークに不正アクセスを防ぐ代表的な手段にファイアウォールがあります。

キーワード

ファイアウオール、セキュリティホール、バックドア、ポート閉鎖、ポートスキャン攻撃、パケットフィルタリング型、認証サーバ、ステートフルインスペクション型、アプリケーションゲートウェイ型、コンテンツフィルタリング型、プロキシ型、WAF、UTM、DMZ


ファイアウオールとは

ファイアウォール(firewall)とは防火壁のことですが,インターネットなど外部のネットワークから組織内のネットワークへ侵入するのを防ぐ仕組みです。インターネットと内部ネットワークの間に設置されます。専用のハードウェアを設置することもありますが、ファイアウオール機能をもつソフトウェアをルータに組みこんで使用することもあります。

社員が自宅や外出先から社内システムにアクセスするテレワークやモバイル・コンピューティングが普及してきました。その効果を高めるには,社外にいてもインターネットを通して社内のネットワークにアクセスして、オフィスにいるのと同じような環境にする必要があります。
 企業では社外に向けてWebサイトを構築していますし、それを用いて顧客との商取引をしていることもあります。このWebサイトは社内からも閲覧・更新できるようになっていなければなりません。すなわち、Webサーバはインターネットと社内ネットワークの両方に接続している必要があります。
 このように、インターネットと社内ネットワークを接続すると、不正アクセスの危険があります。この解決をするための基本的な対策がファイアウォールの設置です。
インターネットと社内ネットワークの間に設置して、インターネットからのアクセスが、権限を与えられた人が許可された利用をするときには社内ネットワークへ通すが、そうでないアクセスは通さないための仕組みです。

ファイアウォールの機能は多様です。外部から内部へのアクセスを遮断するだけでなく、内部から外部への情報漏えいや不適切なWebサイト接続など不正な通信を遮断するためにも適用できます。

セキュリティホール

不正アクセスなどに利用される,コンピュータシステムやネットワークに存在する弱点や欠陥のことです。
 ファイアウォールの設定では、セキュリティポリシーやリスク分析により、通過・遮断の方針を明確にすること、不正手口の進化に対応して、ファイアウォールソフトを最新の状態にしておくこと、監視やアクセスログの収集・分析の体制を整えておくことが必要です。
 そのような対策を講じていても、不注意や新手口により、セキュリティホールは存在します。それを発見して早期に塞ぐことが重要です。

バックドア

セキュリティホールの代表的なものにバックドア(裏口)があります。正規のファイアウオールを通さない、社内ネットワークとインターネットの接続口です。
 バックドアは、侵入者が通常のアクセス経路以外で侵入するためにひそかに組み込むこともありますし、社内利用者が安易な気持で作成してしまうこともあります、
 それへの対処が不十分だと、ファイアウオールを設置しても抜け穴ができ、それを通して不正アクセスが行われます。

ポート閉鎖

ファイアウオールでの通過・遮断の判断には、ユーザIDやパスワードなどによる本人確認が基本なことは当然ですが、ファイアウオール特有なものにポート閉鎖があります。

ポートとは、TCPヘッダのポート番号のことで、Webページ閲覧でのプロトコルHTTPは80、電子メール発信・転送のSMTPは25というように、アプリケーションを指定するものです(参照:「ウェルノウン・ポート番号」)。

外部に公開しているWebサーバやメールサーバは、一般の外部利用者も使うのですから、80や25は開いておく必要があります。それに対して、社内用DBサーバなどをリモートアクセスするTELNET(23)などのポートは、社員以外にはアクセスできないように、閉じておく、あるいは、標準的なポート番号と異なる番号に設定することが必要があります。

ポートスキャン攻撃

アクセス可能なポートを調査する機能をポートスキャンといいます。
 ポートスキャンは、サーバ管理者がセキュリティ対策として用いるのが本来の用途ですが、悪意の第三者に使われると、標的サーバが利用できるポート番号をスキャンして攻撃されます。それをポートスキャン攻撃といいます。


ファイアウォールの種類

ファイアウォールには,不正アクセスをチェックする対象レベルや利用目的などにより、いろいろな種類があります。

パケットフィルタリング型

パケットフィルタリング型は,主にパケットのヘッダ部分(送信元および送信先のIPアドレス、パケットの種類、ポート番号など)を調べて,アクセスの許可/不許可を決定します。データそのものを調べるのではないので,高速に処理できます。
 内部ネットワークのホストをプライベートIPアドレスにしておき,NATあるいはNAPTを用いることにより,外部のグローバルIPアドレスに変換することにより,内部のホストの存在を通信相手から完全に隠すことができます。それにより,外部から直接に内部にアクセスできなくして,セキュリティを高めることができます。
 特に、アクセスしてきた利用者の本人確認を主とするサーバを認証サーバといいます。

ステートフルインスペクション型

パケットを調べるだけでなく、そのパケットがTCPで確立済みのセッションのものかどうかもチェックします。すなわち、パケットフィルタリング型では入力パケットだけが対象ですが、これは出力パケットも対象にして、不正な利用をしていないかもチェックします。
この型を発展させたものにマルチレイヤーインスペクション型があります。

アプリケーションゲートウェイ型

コンテンツフィルタリング型プロキシ型ともいいます。
 コンテンツフィルタリング型の機能では,ヘッダ部分だけでなく,パケットのデータの中身まで調べ(コンテンツフィルタリング)ます。登録したキーワードと自動照合するなど、調べる項目やレベルは設定によります。パケットフィルタリング型より細かい設定が可能になります。しかし,それだけ負荷が増大するので,効率が悪くなります。

プロキシ型

アプリケーションゲートウェイ型を、代理という意味であるプロキシ(proxy)機能に着目したときの名称です。ファイアウォールとやや性格が異なり、社内LANにあるクライアント(パソコン)とインターネットのWebサーバなどとの仲介をします。

ファイアウォールの発展

WAF(Web Application Firewall)
これは、上記のファイアウォールとやや異なるものです。Webアプリケーション(Javaなどの言語を用いて、動的なページを作成する処理)への攻撃を防ぐものです。アプリケーション層(レイヤー7)でのファイアウォールです。
 論理的には、ブラウザとWebサーバの間に置かれ(実装的では、その機能をWebサーバ管理ソフトに組み込むのが一般的)、ブラウザからWebサーバへアプリケーション要求のメッセージが出されたとき、いったんWAFが受取り、無害であることを確認したらWebサーバへ渡す仕組みです。クロスサイトスクリプティングSQLインジェクションなどの攻撃に対処するのが目的です。
 このように、WAFはメッセージ解読による防御を行うだけであり、WebサーバやWebアプリケーションの脆弱性の修正や実装時の対策を行うものではありません。これは上述のファイアウォールと同じです。
UTM(Unified Threat Management)
ファイアウォール機能、ウイルス対策機能、IPS(侵入防御システム)機能など、複数のセキュリティ機能を統合的に管理することです。WAFは、UTM支援を行うためのツールだといえます。

DMZ:ファイアウォールの設置場所

DMZ(De-Minitarized Zone:非武装地帯)とは、企業内ネットワークも,外部ネットワークからも論理的に隔離されたネットワーク領域です。
 フアイアウォールによりDMZが設定できます。外部にも公開するWebサーバなどはDMZに設置することにより、企業内ネットワークからも外部ネットワークからもアクセスできます。
 社外秘サーバは、DMZの外の企業内ネットワークに設置することにより、企業内ネットワークからはアクセスできるが、外部ネットワークからは見えなくすることができます。

Webサーバはインターネットで公開するが,社外秘サーバはインターネットからはアクセスできないようにしたいのです。そのとき,ファイアウォールは,どのように設置すればよいでしょうか?

設置場所AとB

図Aのように設置すると,インターネットからWebサーバにアクセスできるが,社外秘サーバにはアクセスできません。ところがこれではWebサーバが全然保護されていないので,Webページが改ざんされる危険があります。
 それで,図BのようにWebサーバをファイアウォールの内側に置くと,Webサーバ閲覧のためにHTTPは許可する設定になります。すると,HTTPでアクセスする社外秘サーバをどうするかなど,設定管理が複雑になります。しかも,ファイアウォールでのNAT機能が有効にならない危険もあります。

設置場所CとD

このような問題を解決するには,図Cのようにファイアウォールを二つ置いて,外側のファイアウォールでWebサーバを守り,内側のファイアウォールで社外秘サーバを守ればよいことになります。この2つのファイアウォールで囲まれた場所をDMZといいます。
 しかし,図Cはあまりにも冗長です。それでファイアウォールにインターネット・内部ネットワーク・DMZの三つのポートを持って,個々のネットワークの通過条件を設定することにより,図Dのような構成にしています。