情報セキュリティ 試験合格への道
iStudyで学習 通信講座
   ファイアウォール(パケットフィルタリングとアプリケーションゲートウェイ)、DMZの仕組みや特徴について
情報セキュリティスペシャリスト合格への道 > テーマ別セキュリティ解説 > ファイアウォールの仕組みと特徴
情報セキュリティスペシャリスト












ファイアウォール
ファイアウォールとは、社内ネットワークのような内部のネットワークと、インターネットのような外部のネットワークの間に設置され、不正アクセスや攻撃を防御してくれるシステム(機器)のことです。

また、社内システムにWebサーバのような外部に公開したいサーバを設置したい場合、それを社内ネットワークに設置すると、社内ネットワークに接続されている全ての機器が危険にさらされます
というのは、公開しているWebサーバに脆弱性があり、外部からの攻撃により乗っ取られて踏み台にされると、それを基点として社内ネットワーク上で攻撃されるからです。

そこで、ファイアウォールに、内部セグメント用ポートと外部セグメント用ポートとは別に、公開セグメント用のポートを用意して、そのセグメントに公開用サーバ(Webサーバなど)を設置します。
これにより、公開用サーバが乗っ取られても、社内セグメントはファイアウォールにより防御してもらえるため安全になります。
この公開用セグメントをDMZ(DeMilitarized Zone:非武装地帯)といわれます。
(ちなみにファイアウォールで防御されていないエリアはバリアセグメントといわれます)

このような分類により、内部セグメントは安全、DMZはやや危険、インターネットは危険というセキュリティレベル分けができます。
DMZに社内システムを構築する際は、”やや危険”が伴うことを念頭に、以下の点に注意を払う必要があります。

【DMZにサーバを配置する際の注意点】
  • 外部からの攻撃があるという前提で、攻撃を回避したり軽減できる対策を施す
  • 個人情報など重要なデータは極力DMZではなく、安全な社内セグメントに配置する


ファイアウォールとDMZ(図)

ファイアウォールとDMZ(図)

ファイアウォールのタイプと特徴
ファイアウォールには、大きく分けて
パケットフィルタリング型」と「アプリケーションゲートウェイ型
の2種類のタイプがあります。

パケットフィルタリング型は、パケットのヘッダ部にあるIPアドレスやポート番号をもとに、パケットの通信許可を判断します。
つまり、ネットワーク層(第3層)でのフィルタリングを行います。

パケットフィルタリング型

アプリケーションゲートウェイ型は、HTTPやFTPなどアプリケーション層(第7層)でのフィルタリングを行います。
一般的にプロキシサーバと言われるものがこれに当たります。

HTTPやFTPなど、アプリケーションごとに別々のプロキシという中継専用のプログラムがあり、プロキシ経由でパケットの中継を行います
つまり、クライアントからの接続はプロキシ(=ファイアウォール)で確立され、そこからプロキシと目的の接続先へ再度、コネクションが確立される流れとなります。
パケットのデータ部の中身もチェックしてフィルタリングが行えるため、より詳細なアクセス制御が行えます。

アプリケーションゲートウェイ型

例えば、HTTPによるWeb閲覧を制限したい場合を例にあげると、
パケットフィルタリング型では、指定したPC(IPアドレス)のWeb閲覧を制限できます。
一方、アプリケーションゲートウェイ型では、特定のWebサイトでWeb閲覧を制限できます。
(2チャンネルのアドレスである「http://www.2ch.net/」が含まれているかどうかでアクセス制御できる)

パケットのヘッダ部だけで判断するパケットフィルタリング型と比べると、データの内容までチェックするアプリケーションゲートウェイ型の方が詳細なアクセス制御が行えることになります。
その分、処理速度が遅くなるというデメリットもあります。
また、ファイアウォールはアクセス制御だけでなく、攻撃有無の調査を行うためログの取得も必要になります。
その際、パケットのヘッダ部のみ確認するパケットフィルタリング型は、ログの取得もパケットヘッダ分の情報しか残りません。
一方、アプリケーションゲートウェイ型は詳細なログ情報を取得できます。

F/Wの種類 メリット デメリット
パケット
フィルタリング型
処理速度が早い IP偽装による攻撃に弱い
ログがIPヘッダの情報のみ
アプリケーション
ゲートウェイ型
詳細なアクセス制御が可能
詳細なログ情報が記録可能
処理速度が遅い

ファイアウォールの種類と特徴(表)

ファイアウォールのフィルタリング機能
ファイアウォールでフィルタリング定義を決める際の定義情報を
ACL(Access Control List:アクセス制御リスト)と言われます。
ACLによって、アクセス許可、アクセス拒否の設定を行います。

なお、ACLのルール設定方法により、
ポジティブセキュリティモデル」と「ネガティブセキュリティモデル
の2つの考え方があります。
ポジティブセキュリティモデルは、デフォルト全て「通信拒否」し、
そこにアクセス許可をするルール(=ホワイトリスト)を追加していく方法です。
ネガティブセキュリティモデルは、デフォルト全て「通信許可」し、
そこにアクセス拒否するルール(ブラックリスト)を追加していく方法です。

また、ACLには、IPアドレスやポート番号だけでなく、パケットの方向も指定できます。
インターネットなどの外部から内部ネットワークに入ってくる通信はインバウンド通信
内部ネットワークからインターネットなど外部へ出て行く通信はアウトバウンド通信
と呼ばれます。
ファイアウォールの欠点
ファイアウォールは、外部からの攻撃を防御する最も代表的な手段ですが、万能ではありません。
例えば、大量のパケットを送り込んでネットワークを輻輳させたり、システムをダウンさせるようなDoS攻撃において、そのパケットがファイアウォールの定義上、正当とみなされれば、ファイアウォールはDoS攻撃を防ぐことができません

このようなケースで、十分な帯域をもつネットワーク構成にしたり、
IDSIPSを利用する対策があります。

また、DMZに設置される代表的なものにWebサイト公開用のWebサーバがあります。
このWebアプリケーションの脆弱性を突いた攻撃もファイアウォールでは防ぐことができません。
これには、Webアプリケーション専用の防御システムとしてWAF(Web Application Firewall)が利用されます。



■合格対策オススメBooks

情報セキュリティスペシャリスト(2010)

[1万円(税抜)以上送料無料]media5 10倍脳を鍛える情報セキュリティスペシャリスト試験6ヶ月保証...

[1万円(税抜)以上送料無料]media5 速攻テキスト 情報セキュリティスペシャリスト試験 6ヶ月保証...

情報セキュリティスペシャリスト標準教本(2010年版)


情報セキュリティスペシャリスト合格への道 ▲このページのトップへ