ファイアウォールの機能 | ファイアウォールで何を守れるのか？

ファイアウォールの機能によって、外部または内部からの通信を事前に設定したルールに基づいて制御します。

特別な機械を設置することなくルータやUTMなどに標準的に備わっているセキュリティ対策になりますので、広く一般的に普及しているセキュリティ対策の基本です。

多くのネットワーク環境で何かしらの設定がされている反面、具体的にどのような機能なのかを理解できている人はそう多くはありません。

前回のファイアウォールに関するコンテンツ『ファイアウォールとは？ | セキュリティ対策の基礎知識を理解する』では、ファイアウォールの基本的な紹介をさせていただきました。

今回は、ファイアウォールの機能についてもう少し深掘りしていきたいと思います。

ファイアウォールの機能１：フィルタリング機能

フィルタリング機能は、ファイアウォールの代表的な機能になります。

発信元や通信の中身を精査して、正しい通信は通す、正しくないものは通さないといった形で不正な通信をブロックする機能です。

そしてフィルタリング機能には以下のような4つの手法があります。

1. 静的フィルタリング
2. 動的フィルタリング
3. ステートフル・インスペクション
4. プロキシ型フィルタリング

静的フィルタリングと動的フィルタリングの関係とは

静的フィルタリングとは、ポート番号やプロコトル、IPアドレスなどで構成された発信と受信の通信可否リストを作成して、その情報をもとに通信を制御する手法です。

しかし、静的フィルタリングには大きな弱点があります。

そては、静的フィルタリングではパケットが流れていないときも、戻りのパケットのために穴をあけておく必要があるということです。

アプリケーションによっては、たくさんのポートを空けておく必要があり、それが多いほど脆弱性となってしまいます。

本来であれば、必要な時にだけ穴を空けて、不要な時は穴を閉じるようにしたいわけです。

静的フィルタリングはこの機能を持ち合わせていません。

これら静的フィルタリングの弱点を解決してくれるのが動的フィルタリングということになります。

動的フィルタリングは様々なルータにその機能を備えています。

ヤマハのRTXシリーズに代表されるビジネス向けのルータであれば標準で備わっている機能になります。

ステートフル・インスペクション

ステートフル・インスペクションは、静的・動的フィルタリングでは捉えられないような不正な通信を遮断する機能になります。

ファイアウォールを通過するパケットのデータを読み取り、内容を判断して動的にポートを開放・閉鎖します。

具体的には、LAN側からのアクセスしたデータをセッションログとして保存しておき、WAN側から戻ってきたパケットがそれと矛盾していないかを確認します。

万が一、WAN側からのパケットの内容がセッションログと矛盾した場合は、即座に通信を遮断してLAN側の端末やサーバを不正アクセスから保護する働きをしてくれます。

このあたりは結構ザルになっているケースも多く「LANからWANに出ていく通信の戻りパケットだけを通す」といった最低限の設定はしておきたいところです。。。

ip filter 100 pass * * established * *　# ステートフルインスペクション
ip filter 101 pass * * icmp * *
ip filter 102 pass * * udp domain *　　# ispのdnsを参照している場合
ip filter 200 reject * * * * *
pp select 1
ip pp secure filter in 100 101 102 200

参考までにconfigを貼っておきます。

プロキシ型フィルタリング

さらに上を行くのが、プロキシ型フィルタリングです。

プロキシ型フィルタリングは、パケットの通信内容までチェックすることができるフィルタリング機能です。

この処理では、処理するレイヤーが上位まで上がるためより多くのデータのチェックを必要とします

そのためスループットの低下を招く恐れがある点も考慮に入れなければなりません。

ファイアウォールの機能２：NATによるアドレス変換機能

NAT（Network Address Translation）とはIPアドレスを返還する技術になります。

身近な用途としては、グローバルIPアドレスをプライベートIPアドレスに変換する仕組みとして利用されています。

多くのネットワーク環境では、一つのインターネット回線を複数の端末に接続します。

インターネット接続は一つのIPアドレス（グローバルIPアドレス）を使用するため、一つの端末にしか接続することはできません。

そこで、ルータに含まれるNAT技術を使用してアドレスの変換処理を行ないます。

私たちが普段目にするような、[192.168.1.1]のようなアドレスがNATによって変換されたローカルIPアドレスということになります。

ファイアウォールの機能３：通信履歴の監視機能

大規模なネットワークでは、サイバー攻撃の標的としてターゲットにされやすく、攻撃側も様々な手段を使って攻撃を仕掛けてきます。

内部のネットワークは常に標的にさらされているということで、ネットワーク管理者は可能な限り状況をリアルタイムで把握する必要があります。

そのため、ファイアウォールには監視機能が備わっているのです。

その一つが、遠隔で管理できる「リモート監視機能」になります。

これにより、管理者はファイアウォールを直接操作することなく、遠隔地からでも管理をすることができます。

「リモート監視機能」の具体的な機能としては、ログの取得や監視だけでなく、設定変更やアップデートといったメンテナンス、さらに、設定情報のバックアップやリストアなども可能です。

OSSの監視ツールとして最もメジャーでポピュラーなのがZabbixです。

メジャーであるため、有償・無償問わずサポートやコミュニティも充実していますが、設定項目が多く難易度はかなり高めです。

ルータの標準機能でもできることは多々あり

近年は、中小企業のネットワークでもセキュリティ対策の意識が高まり、UTMのようなパッケージ製品や高機能のセキュリティ対策製品が販売されています。

それと同時に、ルータの高機能化も進みファイアウォール機能の搭載は当然のものとなっています。

しかし、当たり前に普及しているファイアウォールの細かな設定を怠り、設定がザルになっている環境を多く見かけるのも事実です。

セキュリティ対策の基本であるファイアウォールを改めて見直し外部からの攻撃に備える必要があると考えています。