ファイアーウォール


目次

はじめに
 ◆全てのサーバをファイアーウォールの内側に設置
 ◆社内LANはファイアーウォール内、公開サーバはファイアーウォール外に設置する方法
 ◆ファイアーウォールが2つのネットワーク・セグメントを管理し、1つに公開サーバ、もう一つに社内向けサーバ・クライアントを設置する方法
ファイアーウォールを実現する2つ方式
 ◆パケット・フィルタリング方式
 ◆アプリケーション・ゲートウェイ方式
パケット・フィルタリングの拡張
設置しただけで安心してはならない

一つ前へ


はじめに


 社内システムへの不正アクセス/侵入、および公開Webサーバへの不正な攻撃を防ぐ対策として、まず考えられるのがファイアーウォールの設置です。
 ファイアーウォールとは、社内LANとインターネットの間に配置して、インターネットを通した不正侵入を防御するシステムの総称を指す。
 社内に公開Webサーバやメール・サーバを設置する場合、ファイアーウォールは以下に示す3つの方法があり、それぞれにメリット/デメリットがあります。
@すべてのサーバをファイアーウォールの内側に設置する方法
A社内LANはファイアーウォール内、公開サーバはファイアーウォール外に設置する方法
B公開サーバと社内サーバの両方をファイアーウォールで守り、かつ公開サーバが乗っ取られても社内LANに及ぼす影響が少ない構成。
 

 各々の方式について、これから説明していきます。

全てのサーバをファイアーウォールの内側に設置


 この方式の構成図を図1−1に示します。


 この構成は、すべてのサーバをファイアーウォールで守れる。加えて、公開Webサーバを社内LANと同じセグメントに配置するため、、Webコンテンツを社内のクライアントから何の制限もなく、自由に更新・変更できる。反面、公開サーバに不正侵入され、乗っ取られた場合に被害が社内システム全体におよぶ可能性が高い。


社内LANはファイアーウォール内、公開サーバはファイアーウォール外に設置する方法


 この方式の構成図を図1−2に示します。


 この構成の場合、公開サーバが乗っ取られても、社内LANにまで被害がおよぶ危険性は低い。ただ、公開サーバをインターネットに直結するため、公開サーバ側で十分なセキュリティ対策を施す必要がある。


ファイアーウォールが2つのネットワーク・セグメントを管理し、1つに公開サーバ、もう一つに社内向けサーバ・クライアントを設置する方法

 この方式の構成図を図1−3に示します。


 この構成は、公開サーバと社内サーバの両方をファイヤウォールで守り、かつ公開サーバが乗っ取られても社内LANにおよぼす影響が少ない構成である。
 ファイアーウォールが異なる二つのネットワーク・セグメントを管理し、一つのネットワーク・セグメントに公開サーバ、もう一つに社内向けサーバやクライアントを配置する(公開サーバを設置するセグメントはDMZ De-Militaraize Zone,非武装地帯と呼ばれる)。こうすることで、前記2つの両メリットを享受することができる。最近では多くの企業がこの構成を採用している。この構成のデメリットは、ファイヤーウォールの管理が煩雑になることである。インターネットとDMZ、インターネットと社内LAN、DMZと社内LANの間を行き来するパケットについて、セキュリティーのルール(セキュリティ・ポリシ)を設定する必要がある。


ファイアーウォールを実現する2つ方式

 不正アクセス/侵入を防ぐ方法として、ファイヤーウォールは大きく2つの手段を提供する。

1.パケット・フィルタリング方式
2.アプリケーション・ゲートウェイ方式

 以下に、それぞれの特徴を説明します。


パケット・フィルタリング方式

 パケット・フィルタリング方式は、ネットワーク上を流れるIPパケットをあるルールに基づいてふるいにかけ、通すべきパケットとそうでないパケットを選別する方法である(図2)。


 社内に入ってこようとするパケット、および社内から出ていこうとするパケットに対して、発信元IPアドレスや宛先IPアドレス、ポート番号、TCPやUDPなどのプロトコル種別をパラメータにしてふるいをかける。例えば、公開Webサーバをファイアーウォール内に設置し、インターネットから社内にはWebサーバに対するパケットだけを通すとしよう。その場合、下の表1に示したようなテーブル(ルール)を作成する。


表1 パケット・フィルタリングで設定するルール。ファイアウォール内に設置した公開Webサーバに対するパケットと、公開Webサーバから送られるパケットだけを通過させるように設定した例を示す

通過/拒否方向発信元アドレス発信元ポート宛先アドレス宛先ポートプロトコル
通過in**公開Webサーバの
IPアドレス
80tcp
通過out公開Webサーバの
IPアドレス
80**tcp
拒否in*****
拒否out*****




アプリケーション・ゲートウェイ方式

 アプリケーション・ゲートウェイ方式は、通信を中継する代理プログラム(Proxy)を利用して、社内LANとインターネットを切り離す方式である(図3)。具体的には、社内クライアントからインターネット上のWebサーバにアクセスする場合、ファイアウォールが社内クライアントからの要求を受けてHTTPプロキシを起動し、クライアントに代って社外のWebサーバをアクセスする。こうすることで、社内LANを外部から隠蔽し、社内LANを外敵から守ることができるのである。


 アプリケーション・ゲートウェイは、アプリケーションが送受信するパケットの内容を監視するため、一般にパケット・フィルタリングに比べて細かな防御が可能になる。例えば、社内クライアントがインターネット上のFTPサーバをアクセス場合を考えると、パケットフィルタリングだと発信元IPアドレスや、宛先IPアドレス、ポート番号などしかチェックできない。これに対して、アプリケーション・ゲートウェイ方式だと、FTPのどのコマンド(STORやRETRなど)を通過させるかということまで指定できる。
 また、FTPのパッシブ転送モードを利用する場合もアプリケーション・ゲートウェイの方が安全である。パッシブ転送は、クライアントがTCPのポート21を使って、サーバにデータ通信のための一時ポートを割り当てるように要求する。サーバが一時ポートをどのポートに割り当てるかは、サーバから返答があるまでわからない。そのため、パケット・フィルタリングだと、FTPのパッシブ転送を利用するためには1024番以上のポートをすべて開けておく必要がある。これに対して、アプリケーション・ゲートウェイは、アプリケーションが送受信するパケットを解析することで、サーバから通知される一時ポートの番号を把握でき、割当てられた一時ポートだけを動的に開けることが可能なのである(FTPにはアクティブ転送モードというのもある、このモードは決められたTCPのポート20と21で通信する)。
 反面、アプリケーション・ゲートウェイ方式はオーバーヘッドが大きく、一般にパケット・フィルタリングより通信速度が遅くなる。また、パケット・フィルタリングはHTTPやFTP、POPなどのアプリケーションに依存しないが、アプリケーション・ゲートウェイはアプリケーションごとに代理プログラムが必要になる。そのため、新しいアプリケーションが登場したり、既存のアプリケーションがバージョンアップすると、そのたびに対応プログラムを用意しなくてはならない。
なお、アプリケーション・ゲートウェイの一種で、アプリケーションの種類に依存しないサーキット・レベル・ゲートウェイと呼ぶ方式もある。この方式では、発信元のIPアドレスや宛先IPアドレス、ポート番号などパケット・フィルタリングとほぼ同様の内容をチェックする。アプリケーション・ゲートウェイほど細かく制御できないが、すべてのアプリケーションに対して汎用的に利用できる。


パケット・フィルタリングの拡張

 パケット・フィルタリングの機能を拡張した方式としては、ダイナミック・パケット・フィルタリング方式がある。これは設定したセキュリティ・ポリシを、状況に応じてダイナミック(動的)に変更する方式です。セキュリティ・ポリシを静的にしか運用できない場合、TCPやUDPのあるポートを開けるというルールを設定すると、そのポートに対するパケットはファイアウォールを無条件で通過してしまいます。これに対して、ダイナミック・パケット・フィルタリングでは、返信されてきたパケットが、送った相手(IPアドレス)から戻ってきたものかなどをチェックして、違うIPアドレスからの返信だった場合にルールを動的に変更し、そのパケットを遮断する機能を備えている(アプリケーション・ゲートウェイでも同様のことができる)。指定した時間内に返信がなければ、自動的にパケットを遮断することもできる。
 ダイナミック・パケット・フィルタリングだけをサポートした(アプリケーション・ゲートウェイ方式をサポートしていない)ファイアウォールは、ルータのような箱型のハードウェア製品に多い(例えばコンテックの「Fireless」)。


設置しただけで安心してはならない

 ファイアウォールは、大切なのは導入した後の運用・管理である。セキュリティ・ポリシは安全性だけではなく、社内ユーザの使い勝手も考慮する必要がある。セキュリティを厳しくすると、概して社内から「使いにくい」という不満の声が挙がる。
 また、ファイアーウォールが記録するログも定期的に検閲しなくてはならない。ファイアウォールを導入しただけで、完璧なセキュリティ対策が施せるわけではない。ファイアーウォールを越える新手の攻撃が出てきたり、設定の変更などで意図しないセキュリティ・ホールが生まれる可能性がある。ログを定期的にチェック、解析することで、ファイアーウォールを健全な状態に保つことができる。


一つ前へ