情報セキュリティスペシャリスト 情報処理安全確保支援士

ファイアウォールについて

投稿日:

ファイアウォールとはレイア4のTCP/IPの層でアクセス制御を行う装置です。
ただし、最近のファイアウォール製品は、その機能以上にIDS/IPS,アンチウイルス、アンチスパム、Webフィルタリングといった機能を持ち、「UTM装置」と言われます。

さらに、Skype,Facebook,Twitter,YouTubeなどのアプリケショーン制御の機能を持つものを「次世代ファイアウォール」と呼ばれたりもします。

 

ファイアウォールの種類

ファイアウォールには様々な仕組みがあります。

・パケットフィルタリング型
宛先IPアドレス、送信元IPアドレス、サービスのポート番号によって、制御を行います。
ルータなどL3機能を有する機器で設定が可能です。

 

・アプリケーションゲートウェイ型
HTTP,HTTPS,FTPなどアプリケーションごとにプロキシを持ち、
そのプロキシによってアプリケーション層も含めた制御を行います。
IPアドレス、ポート番号に加え、ペイロードに含まれる情報もチェックします。

これは一般的なプロキシサーバの仕組みになります。

 

・サーキットレベルゲートウェイ型
アプリケーションゲートウェイ型と同様にファイアウォールが中継となり、
L4レベルで制御を行います。
ペイロードに含まれる情報についてはチェックしません。

フリープロキシである「SOCKS」はこの仕組みを提供しています。

 

・ステートフルインスペクション型
パケットフィルタリング型は、行き帰りの通信を制御する必要がありますが、
ステートフルインスペクション型は、最初にコネクションを確立する方向のみの設定で
フィルタリングが可能になります。

一般的なファイアウォール製品はこの仕組みを実装しています。
元々は、チェックポイント社が開発し、特許を保有しています。

 

ファイアウォールの構成

ファイアウォールは一般的にゾーンと呼ばれるセグメントごとに
セキュリティレベルを分けた構成をとります。

Trust・・・内部ネットワーク
Untrust・・・外部ネットワーク、インターネット側
DMZ(非武装地帯)・・・中間ネットワーク、公開サーバを設置

FW_Zone

 

ファイアウォールの冗長化

ファイアウォールはインターネット出口に設置するものが多く、
機器障害が発生した場合、クライアントのあらゆるネットワーク活動が不能となってしまいます。

そのため、ほぼ必ずと言っていいほど、
冗長化構成をとります。

冗長化の方式としては
アクティブ-アクティブ
アクティブ-スタンバイ
がありますが、一般的にはアクティブ-スタンバイ構成を取ることが多いとおもいます。

以下、アクティブ-スタンバイ方式における障害時の動作と
ファイアウォール + スイッチの一般的な冗長構成例です。

FW_冗長化

 







-情報セキュリティスペシャリスト, 情報処理安全確保支援士
-,

執筆者:


comment

メールアドレスが公開されることはありません。 * が付いている欄は必須項目です

関連記事

暗号化について

暗号化とは文字列に対して、なんらかの暗号アルゴリズムを用いて、 他の文字列に変換することです。 また、暗号化された文字列を元の文字列に戻すことを復号といいます。 暗号化には様々な方式や方法があります。

HTTP・Webアプリケーションの脆弱性

HTTP,Webアプリケーション関連の脆弱性としては、 主に以下の種類があります。

DNSの仕組みと脆弱性について

今回は、DNSの脆弱性についてとなりますが、 そもそもDNSの仕組みについてから説明していきます。  

情報セキュリティ対策の基本的な考え方

情報処理安全確保支援士(旧:情報セキュリティスペシャリスト)の内容に入っていく上で、 まずは、情報セキュリティという概念とその特徴といったことについてみていきたいと思います。

認証システムについて

今回は様々な認証システムについて説明していきたいと思います。 その前に、まずは認証ってどういったものなのかの確認となります。 認証はそもそも何のためにするものかというと、 人(ユーザ名)や端末(IPア …

Sponsored Link