ファイアウォールは、企業内LANなどをインターネットのよう外部ネットワークからの不正アクセス・侵入などから守るための壁であり、ネットワークセキュリティを語るうえでは欠かせない存在です。今回はファイアウォールの仕組みや、実際の構築方法などについて解説していきます。
ファイアウォールの種類は主に2つ
ファイアウォールには主に2つに種類があります。ひとつは、ハードウェアファイアウォールと呼ばれるもので、ネットワーク機器などのハードウェア内にあるファイアウォール機能を利用するものです。もうひとつがソフトウェアファイアウォールで、クライアントPCやOSにソフトウェアをインストールするなどし、ファイアウォール機能を作動させる方法。Windows OSであれば、Windows Vista以降はOSにファイアウォール機能が標準搭載されているため、実際に利用している方も多いのではないでしょうか。
ちなみに、ソフトウェアファイアウォールを「パーソナルファイアウォール」と呼ぶこともあります。ハードウェアファイアウォールは主にネットワーク全体を、ソフトウェアファイアウォールは任意のPCやサーバーを保護する対策方法です。
ファイアウォールの主な機能は?
ファイアウォールの主な機能として、「パケットフィルタリング」「アドレス変換」「遠隔監視・操作」などがあります。
パケットフィルタリングは、パケットの先頭部分(ヘッダ情報)を解析することにより、データを通過させるか否かの判断を下す機能です。また、アドレス変換は、ネットワークの内と外でそれぞれ異なるIPアドレスを割り振り、外部からネットワーク内部に容易にアクセスできないようにします。遠隔監視・操作機能はその名の通り、リモートでファイアウォールのログを閲覧したり、設定を変更したりといった操作が可能な機能です。管理者がいつでもファイアウォールを操作しやすい状態にすることで、不測の事態に対応できるよう配慮されています。
ファイアウォールの構築方法は?
ファイアウォールの構築には、どのようなアクセスを許可し、どのサービスを外部に公開するかといったポリシー設計が必要です。また、ファイアウォールを実際に運用する際の運用ルールも、事前に定めておく必要があるでしょう。
特にハードウェアファイアウォールの場合、多くは内部ネットワークと外部ネットワークの境界にあるルーターにその機能が内包されているため、運用方法を間違えてしまうと内部ネットワークからインターネットに接続することができないといった事態も考えられます。このような事態に陥ってしまうと、業務自体に支障がでてしまうため、ハードウェアの選定やサポート体制などが非常に大切です。
また、ファイアウォールは、内部の仕組みによって「パケットフィルタリング型」か「プロキシ型」かに分類されます。一般的にパケットフィルタリング型は通信速度に優れ、プロキシ型は詳細な管理や制御がしやすい仕組みです。速度と管理のしやすさのどちらを優先するのかという選択も、ファイアウォールの構築時には必要になるでしょう。
ファイアウォールで防ぐことのできない攻撃はWAFで遮断
ファイアウォールはネットワークを保護する「砦」や「防火壁」に例えられますが、あくまでも数あるネットワークセキュリティ対策方法のうちの一つです。そのため、ファイアウォールで防ぐことができない攻撃も存在します。たとえば、Webサーバーとして広く普及している「IIS」や「Apache」、実際にWebサーバー上で動作するアプリケーションの脆弱性をついた攻撃は、ファイアウォールを設定していても防ぐことが難しい場合があるでしょう。これらは、一般的に外部に公開されているサービスだけにファイアウォールによる遮断が難しいのです。
このようなケースに対応するのが、WAF(ワフ)です。WAFは外部に公開されているWebサーバーの前面に配置し、Webアプリケーションなどに不正なアクセスがないかを監視し、問題がある場合は遮断します。ファイアウォールでは防ぎにくかったサービスやアプリケーションの脆弱性に対して有効なため、導入が進んでいる仕組みです。
2重3重の防御策を!
ファイアウォールはあくまでもネットワークセキュリティの一部分であり、万能ではありません。
ネットワークセキュリティをより強固なものとするためには、ネットワーク内部のOSやサービス、アプリケーションなどに脆弱性がないかを随時確認しておく必要があるでしょう。
[PR]提供:マイナビニュース TECH+
