ファイアウォール

インターネットなど外部ネットワークから社内ネットワークに不正アクセスを防ぐ代表的な手段にファイアウォールがあります。

キーワード

ファイアウオール、セキュリティホール、バックドア、ポート閉鎖、ポートスキャン攻撃、パケットフィルタリング型、認証サーバ、ステートフルインスペクション型、アプリケーションゲートウェイ型、コンテンツフィルタリング型、プロキシ型、ＷＡＦ、ＵＴＭ、ＤＭＺ

ファイアウオールとは

ファイアウォール（firewall）とは防火壁のことですが，インターネットなど外部のネットワークから組織内のネットワークへ侵入するのを防ぐ仕組みです。インターネットと内部ネットワークの間に設置されます。専用のハードウェアを設置することもありますが、ファイアウオール機能をもつソフトウェアをルータに組みこんで使用することもあります。

社員が自宅や外出先から社内システムにアクセスするテレワークやモバイル・コンピューティングが普及してきました。その効果を高めるには，社外にいてもインターネットを通して社内のネットワークにアクセスして、オフィスにいるのと同じような環境にする必要があります。
　企業では社外に向けてＷｅｂサイトを構築していますし、それを用いて顧客との商取引をしていることもあります。このＷｅｂサイトは社内からも閲覧・更新できるようになっていなければなりません。すなわち、Ｗｅｂサーバはインターネットと社内ネットワークの両方に接続している必要があります。
　このように、インターネットと社内ネットワークを接続すると、不正アクセスの危険があります。この解決をするための基本的な対策がファイアウォールの設置です。
インターネットと社内ネットワークの間に設置して、インターネットからのアクセスが、権限を与えられた人が許可された利用をするときには社内ネットワークへ通すが、そうでないアクセスは通さないための仕組みです。

ファイアウォールの機能は多様です。外部から内部へのアクセスを遮断するだけでなく、内部から外部への情報漏えいや不適切なＷｅｂサイト接続など不正な通信を遮断するためにも適用できます。

ユーザＩＤとパスワードにより利用者を識別して、非権限者からのアクセスを遮断します。
利用しない機能（ポート）を閉鎖することにより、不正アクセスを遮断します。→ポートスキャン攻撃
メッセージ（送られてきた電文）の内容を検査して、ウイルスの有無、不正メッセージを遮断します。

セキュリティホール

不正アクセスなどに利用される，コンピュータシステムやネットワークに存在する弱点や欠陥のことです。
　ファイアウォールの設定では、セキュリティポリシーやリスク分析により、通過・遮断の方針を明確にすること、不正手口の進化に対応して、ファイアウォールソフトを最新の状態にしておくこと、監視やアクセスログの収集・分析の体制を整えておくことが必要です。
　そのような対策を講じていても、不注意や新手口により、セキュリティホールは存在します。それを発見して早期に塞ぐことが重要です。

バックドア

セキュリティホールの代表的なものにバックドア（裏口）があります。正規のファイアウオールを通さない、社内ネットワークとインターネットの接続口です。
　バックドアは、侵入者が通常のアクセス経路以外で侵入するためにひそかに組み込むこともありますし、社内利用者が安易な気持で作成してしまうこともあります、
　それへの対処が不十分だと、ファイアウオールを設置しても抜け穴ができ、それを通して不正アクセスが行われます。

ポート閉鎖

ファイアウオールでの通過・遮断の判断には、ユーザＩＤやパスワードなどによる本人確認が基本なことは当然ですが、ファイアウオール特有なものにポート閉鎖があります。

ポートとは、ＴＣＰヘッダのポート番号のことで、Ｗｅｂページ閲覧でのプロトコルＨＴＴＰは８０、電子メール発信・転送のＳＭＴＰは２５というように、アプリケーションを指定するものです（参照：「ウェルノウン・ポート番号」）。

外部に公開しているＷｅｂサーバやメールサーバは、一般の外部利用者も使うのですから、８０や２５は開いておく必要があります。それに対して、社内用ＤＢサーバなどをリモートアクセスするＴＥＬＮＥＴ（２３）などのポートは、社員以外にはアクセスできないように、閉じておく、あるいは、標準的なポート番号と異なる番号に設定することが必要があります。

ポートスキャン攻撃

アクセス可能なポートを調査する機能をポートスキャンといいます。
　ポートスキャンは、サーバ管理者がセキュリティ対策として用いるのが本来の用途ですが、悪意の第三者に使われると、標的サーバが利用できるポート番号をスキャンして攻撃されます。それをポートスキャン攻撃といいます。

ファイアウォールの種類

ファイアウォールには，不正アクセスをチェックする対象レベルや利用目的などにより、いろいろな種類があります。

パケットフィルタリング型

パケットフィルタリング型は，主にパケットのヘッダ部分（送信元および送信先のＩＰアドレス、パケットの種類、ポート番号など）を調べて，アクセスの許可／不許可を決定します。データそのものを調べるのではないので，高速に処理できます。
　内部ネットワークのホストをプライベートＩＰアドレスにしておき，ＮＡＴあるいはＮＡＰＴを用いることにより，外部のグローバルＩＰアドレスに変換することにより，内部のホストの存在を通信相手から完全に隠すことができます。それにより，外部から直接に内部にアクセスできなくして，セキュリティを高めることができます。
　特に、アクセスしてきた利用者の本人確認を主とするサーバを認証サーバといいます。

ステートフルインスペクション型

パケットを調べるだけでなく、そのパケットがＴＣＰで確立済みのセッションのものかどうかもチェックします。すなわち、パケットフィルタリング型では入力パケットだけが対象ですが、これは出力パケットも対象にして、不正な利用をしていないかもチェックします。
この型を発展させたものにマルチレイヤーインスペクション型があります。

アプリケーションゲートウェイ型

コンテンツフィルタリング型、プロキシ型ともいいます。
　コンテンツフィルタリング型の機能では，ヘッダ部分だけでなく，パケットのデータの中身まで調べ（コンテンツフィルタリング）ます。登録したキーワードと自動照合するなど、調べる項目やレベルは設定によります。パケットフィルタリング型より細かい設定が可能になります。しかし，それだけ負荷が増大するので，効率が悪くなります。

プロキシ型

アプリケーションゲートウェイ型を、代理という意味であるプロキシ（proxy）機能に着目したときの名称です。ファイアウォールとやや性格が異なり、社内ＬＡＮにあるクライアント（パソコン）とインターネットのＷｅｂサーバなどとの仲介をします。
　プロキシサーバには、リバースプロキシとフォワードプロキシがあります。

リバースプロキシ

リバースプロキシはサーバ側に設置される代理サーバです。例えば、特定のＷｅｂサーバの前段に設置し、不特定多数からのＷｅｂサーバへのリクエストに代理応答します。
リバースプロキシにキャッシュされているコンテントは、ここから応答させるので、Ｗｅｂサーバの負荷分散ができます。
Ｗｅｂページが変更になっても、変更していない画像などのコンテンツをキャッシュしておくこともできます。
リバースプロキシに認証機能を持たせて、無資格者のＷｅｂサーバへのアクセスを防ぎます。
複数のＷｅｂサーバが独自のサービスをしているとき、それらを一つのリバースプロキシでまとめ、あたかも一つのＷｅｂサーバのように見せることができます。

フォワードプロキシ

クライアント側にあります。クライアントを代理してインターネットに接続します。外部サーバとの送受信はフォワードプロキシを介して行います。ソフトウェアの視点では、Ｗｅｂブラウザの代理として、Ｗｅｂサーバにアクセスします。
クライアントからインターネットに送信するとき、各種フィルタリングを行い、内部から外部への情報漏えいや不適切なＷｅｂサイト接続など不正な通信の遮断などを行います。
フォワードプロキシを経由した送信ログを記録できます。その分析により、利用状況の把握、外部脅威の検出、不正利用の検出などに役立ちます。
Ｗｅｂページ閲覧では、以前に（他の利用者でも）閲覧した結果から、Ｗｅｂページをキャッシュで保存し、次回に同ページ閲覧要求がきたときは、インターネットに接続せずキャッシュを戻します。同様に、ＤＮＳでのドメイン名とＩＰアドレスの対応表をキャッシュして、名前解決を省略することもあります。
リバースプロキシは特定のＷｅｂサーバを対象にしていますが、フォワードプロキシは不特定のＷｅｂサーバが対象になります。

ファイアウォールの発展

ＷＡＦ（Web Application Firewall）: これは、上記のファイアウォールとやや異なるものです。Ｗｅｂアプリケーション（Ｊａｖａなどの言語を用いて、動的なページを作成する処理）への攻撃を防ぐものです。アプリケーション層（レイヤー７）でのファイアウォールです。
　論理的には、ブラウザとＷｅｂサーバの間に置かれ（実装的では、その機能をＷｅｂサーバ管理ソフトに組み込むのが一般的）、ブラウザからＷｅｂサーバへアプリケーション要求のメッセージが出されたとき、いったんＷＡＦが受取り、無害であることを確認したらＷｅｂサーバへ渡す仕組みです。クロスサイトスクリプティングやＳＱＬインジェクションなどの攻撃に対処するのが目的です。
　このように、ＷＡＦはメッセージ解読による防御を行うだけであり、ＷｅｂサーバやＷｅｂアプリケーションの脆弱性の修正や実装時の対策を行うものではありません。これは上述のファイアウォールと同じです。
ＵＴＭ（Unified Threat Management）: ファイアウォール機能、ウイルス対策機能、ＩＰＳ（侵入防御システム）機能など、複数のセキュリティ機能を統合的に管理することです。ＷＡＦは、ＵＴＭ支援を行うためのツールだといえます。

ＤＭＺ：ファイアウォールの設置場所

ＤＭＺ（De-Minitarized Zone：非武装地帯）とは、企業内ネットワークも，外部ネットワークからも論理的に隔離されたネットワーク領域です。
　フアイアウォールによりＤＭＺが設定できます。外部にも公開するＷｅｂサーバなどはＤＭＺに設置することにより、企業内ネットワークからも外部ネットワークからもアクセスできます。
　社外秘サーバは、ＤＭＺの外の企業内ネットワークに設置することにより、企業内ネットワークからはアクセスできるが、外部ネットワークからは見えなくすることができます。

Ｗｅｂサーバはインターネットで公開するが，社外秘サーバはインターネットからはアクセスできないようにしたいのです。そのとき，ファイアウォールは，どのように設置すればよいでしょうか？

図Ａのように設置すると，インターネットからＷｅｂサーバにアクセスできるが，社外秘サーバにはアクセスできません。ところがこれではＷｅｂサーバが全然保護されていないので，Ｗｅｂページが改ざんされる危険があります。
　それで，図ＢのようにＷｅｂサーバをファイアウォールの内側に置くと，Ｗｅｂサーバ閲覧のためにＨＴＴＰは許可する設定になります。すると，ＨＴＴＰでアクセスする社外秘サーバをどうするかなど，設定管理が複雑になります。しかも，ファイアウォールでのＮＡＴ機能が有効にならない危険もあります。

このような問題を解決するには，図Ｃのようにファイアウォールを二つ置いて，外側のファイアウォールでＷｅｂサーバを守り，内側のファイアウォールで社外秘サーバを守ればよいことになります。この２つのファイアウォールで囲まれた場所をＤＭＺといいます。
　しかし，図Ｃはあまりにも冗長です。それでファイアウォールにインターネット・内部ネットワーク・ＤＭＺの三つのポートを持って，個々のネットワークの通過条件を設定することにより，図Ｄのような構成にしています。