情報セキュリティスペシャリスト 情報処理安全確保支援士

ファイアウォールについて

投稿日:

ファイアウォールとはレイア4のTCP/IPの層でアクセス制御を行う装置です。
ただし、最近のファイアウォール製品は、その機能以上にIDS/IPS,アンチウイルス、アンチスパム、Webフィルタリングといった機能を持ち、「UTM装置」と言われます。

さらに、Skype,Facebook,Twitter,YouTubeなどのアプリケショーン制御の機能を持つものを「次世代ファイアウォール」と呼ばれたりもします。

 

ファイアウォールの種類

ファイアウォールには様々な仕組みがあります。

・パケットフィルタリング型
宛先IPアドレス、送信元IPアドレス、サービスのポート番号によって、制御を行います。
ルータなどL3機能を有する機器で設定が可能です。

 

・アプリケーションゲートウェイ型
HTTP,HTTPS,FTPなどアプリケーションごとにプロキシを持ち、
そのプロキシによってアプリケーション層も含めた制御を行います。
IPアドレス、ポート番号に加え、ペイロードに含まれる情報もチェックします。

これは一般的なプロキシサーバの仕組みになります。

 

・サーキットレベルゲートウェイ型
アプリケーションゲートウェイ型と同様にファイアウォールが中継となり、
L4レベルで制御を行います。
ペイロードに含まれる情報についてはチェックしません。

フリープロキシである「SOCKS」はこの仕組みを提供しています。

 

・ステートフルインスペクション型
パケットフィルタリング型は、行き帰りの通信を制御する必要がありますが、
ステートフルインスペクション型は、最初にコネクションを確立する方向のみの設定で
フィルタリングが可能になります。

一般的なファイアウォール製品はこの仕組みを実装しています。
元々は、チェックポイント社が開発し、特許を保有しています。

 

ファイアウォールの構成

ファイアウォールは一般的にゾーンと呼ばれるセグメントごとに
セキュリティレベルを分けた構成をとります。

Trust・・・内部ネットワーク
Untrust・・・外部ネットワーク、インターネット側
DMZ(非武装地帯)・・・中間ネットワーク、公開サーバを設置

FW_Zone

 

ファイアウォールの冗長化

ファイアウォールはインターネット出口に設置するものが多く、
機器障害が発生した場合、クライアントのあらゆるネットワーク活動が不能となってしまいます。

そのため、ほぼ必ずと言っていいほど、
冗長化構成をとります。

冗長化の方式としては
アクティブ-アクティブ
アクティブ-スタンバイ
がありますが、一般的にはアクティブ-スタンバイ構成を取ることが多いとおもいます。

以下、アクティブ-スタンバイ方式における障害時の動作と
ファイアウォール + スイッチの一般的な冗長構成例です。

FW_冗長化

 







-情報セキュリティスペシャリスト, 情報処理安全確保支援士
-,

執筆者:


comment

メールアドレスが公開されることはありません。 * が付いている欄は必須項目です

関連記事

DNSの仕組みと脆弱性について

今回は、DNSの脆弱性についてとなりますが、 そもそもDNSの仕組みについてから説明していきます。  

HTTP・Webアプリケーションの脆弱性

HTTP,Webアプリケーション関連の脆弱性としては、 主に以下の種類があります。

情報セキュリティの脆弱性ついて

脆弱性とは一般的にはソフトウェアやネットワークの欠陥(バグ)を指しますが、 広義にはシステム面だけでなく、建物・設備面や管理・セキュリティポリシー面での不備も挙げられます。 今回はその中でもネットワー …

暗号化について

暗号化とは文字列に対して、なんらかの暗号アルゴリズムを用いて、 他の文字列に変換することです。 また、暗号化された文字列を元の文字列に戻すことを復号といいます。 暗号化には様々な方式や方法があります。

情報セキュリティマネジメントについて

情報セキュリティマネジメントとは「適切な情報セキュリティポリシーに基づいて、情報資産の機密性、完全性、可用性をバランスよく維持または改善すること」です。 これを会社として十分に確保するために、ISMS …

Sponsored Link