サイバーセキュリティ

Firewall(ファイアウォール)とは、パケットフィルタリングとアプリケーションゲートウェイ

投稿日:

Firewall(ファイアウォール)は日本語だと防火壁の事で、火の侵入を防いで火事が拡大することを防ぐ壁の事を言います。コンピュータの世界ではFirewall(ファイアウォール)は外部の不正な通信や攻撃から大切な情報資産を守るためのシステムの事を言います。

Firewallの仕組み

 

例えば、攻撃者がある不正な通信コマンドを実行して企業内部のネットワークに不正アクセスを試みたとしても、Firewall(ファイアウォール)が許可していない通信であれば、その通信はFirwall(ファイアウォール)によってブロックされます。一方で、Firewall(ファイアウォール)が外部から内部のWebサーバに対してはアクセスを許可していれば、その通信は正常にFirewall(ファイアウォール)を通過してWebサーバから情報を取得することができます。

Firewallには2種類あります。パケットフィルタリング型とアプリケーションゲートウェイ型です。

パケットフィルタリング型の概要

パケットフィルタリング型はパケットのIPヘッダを検査してIPアドレスとポート番号を基にパケットの通信可否を判断します。つまり、パケットフィルタリング型のFirewall(ファイアウォール)はネットワーク層で通信を処理することになります。

Firewall(ファイアウォール)パケットフィルタリング型の説明

パケットフィルタリングの欠点

パケットフィルタリング型のFirewall(ファイアウォール)は設定が非常に簡単ですが、欠点もあります。それは通信の戻りトラフィックに対する処置です。例えば、ユーザがあるアプリケーションサーバにFirewall(ファイアウォール)越しにアクセスするとしましょう。その際にユーザのクライアントは送信元ポートとして3333を利用し、アプリケーションサーバはサービスポートとして2222を利用しています。Firewall(ファイアウォール)では事前の設定で外部のAnyからアプリケーションサーバの2222に対しては通信許可としていますので、ユーザは何の問題もなくアプリケーションサーバにアクセスすることができます。しかし、アプリケーションサーバがユーザのクライアントにデータを返す際にポート3333に対して通信を行う必要がありますが、Firewall(ファイアウォール)はそのポート番号の利用を許可していません。よって、アプリケーションサーバからデータを回答することができなくなります。

Firewall(ファイアウォール)パケットフィルタリングの弱点

ステートフルインスペクション

そこで登場したのが、ステートフルインスペクションという機能です。ステートフルインスペクションではFirewall(ファイアウォール)が処理したデータをセッションログとして保存しておき、次の処理や返し(戻り)の通信の場合はその通信に矛盾がないかを検査して通信の可否を判断します。

Firewall(ファイアウォール)ステートフルインスペクションの説明

アプリケーションゲートウェイ型の概要

アプリケーションゲートウェイ型のFirewall(ファイアウォール)はプロキシとして動作しますので、クライアントとセッションを張り、一方でクライアントの接続先のサーバともセッションを張り、クライアントとサーバの通信の処理を中間で代理で行います。

アプリケーションゲートウェイ型のFirewall(ファイアウォール)はアプリケーション層で通信の処理を行いますので、アプリケーションレベルのデータを読み込んで検査を行う事ができます。

アプリケーションゲートウェイ型のFirewall(ファイアウォール)として頻繁に利用されるのはWAF(ウェブアプリケーションファイアウォール)です。WAFはウェブサーバへの通信(HTTP)を検査して、不正なコマンドを監視・ブロックすることができます。WAFの詳細はこちらを参照ください。

広告

広告

-サイバーセキュリティ

関連記事

図解:共通鍵暗号方式と公開鍵暗号方式

共通鍵暗号方式 共通鍵暗号方式は、暗号化する鍵と復号する鍵に同じ鍵を使います。つまり、データを暗号化するユーザと暗号化したデータを受け取って復号するユーザは同じ共通鍵を持っている必要があります。 共通 …

no image

クラウド、ビックデータ データはどこに?

朝日新聞デジタルに「(盗み見られる個人情報)ネットのデータ、ほとんど米へ」という記事がありました。ほとんどのユーザは物理的なデータの保存場所なんて気にしたことがないかもしれませんね。また気にしたとして …

JCB、手のひら認証で支払い可能に

JCBはユニバーサルロボット株式会社と産業技術総合研究所との共同研究により、可視光手のひら静脈認証技術を用いたサービスの実証実験を2月に実施するようです。 手のひら認証の流れとしては、まずスマホで手の …

no image

クリアデスクとクリアスクリーンとは?ISMSとプライバシーマークに必須

クリアデスクとは、オフィスなどの不特定多数の人がいる所ではデスクから離席する際にデスク上に業務に関する書類を放置せずにキャビネットなど鍵のかかった場所に保管する方針の事を言います。英語ではclear …

no image

Cisco CCNA Cyber Ops サイバーセキュリティの新しい資格

Ciscoがサイバーセキュリティ向けの新しい資格の提供を始めました。その名もCCNA Cyber Opsです。CCNA Cyber OpsはSOC(セキュリティオペレーションセンター)でサイバーセキュ …

広告

転職