ファイアウォールのゾーンとは？背景や設定のポイントも紹介

2019年03月22日最終更新
ファイアウォールの製品一覧

ファイアウォールのゾーンとはどのようなものでしょうか。「ゾーン」という言葉を聞いたことはあるけれど、その意味や仕組み、メリットについて詳しく知らない人も多いでしょう。

この記事では、ゾーンの基本や特徴、誕生した背景、効果的な設定方法について解説します。ぜひ、自社のセキュリティ環境を見直す参考にしてください。

ファイアウォールの製品を調べて比較

製品をまとめて資料請求！資料請求フォームはこちら

ファイアウォールの資料請求ランキングで製品を比較！今週のランキング第1位は？

ファイアウォールのゾーンとは？

ファイアウォールのゾーンの基本を解説します。

アクセス制御方式のこと

ゾーンとは、通信の設定を簡単にするための区分けです。ゾーンを利用した区分けの方式をゾーンベースポリシーモデルと呼びます。

この機能は、LinuxのCentOS７で採用されているパケットフィルタリング型ファイアウォールのfirewalldに搭載されています。CentOS６以前はiptablesという別のファイアウォールが搭載されており、アクセス制御方式も異なりました。

性質単位で制御できる

firewalldのインターフェース（接触面）をグループ化し、性質ごとのアクセス制御が設定できます。たとえば、WebサーバとのインターフェースはゾーンA、LANとのインターフェースはゾーンBを適用するなどの設定が可能です。

一度作成したゾーンは複数のインターフェースに割り当てられるため、同じ性質のインターフェースを個別に設定しなくてよいのが特長です。

先ほどの例でいえば、Webサーバとのインターフェースが複数あった場合、それらすべてにゾーンAを一括適用できます。同じ設定を何度もする必要がないため、管理が簡単です。

firewalldには新規の状態で９種類のゾーンが準備されており、それらはNIC（ネットワークアダプタ）に適用することで機能します。ゾーンは自作して増やすことも可能です。

ゾーンの概念が生まれた背景

ゾーンを利用した方式（ゾーンベースポリシーモデル）の誕生にはどのような背景があるのでしょうか。

従来はインターフェースごとの通信制御が主流

ファイアウォールが登場した当初は、インターフェースのセクション単位ごとに通信制御を行う（通信ポリシーを設定する）のが一般的でした。この方式はインタフェースベースポリシーモデルと呼ばれています。

ファイアウォールiptablesでは、この方式が採用されていました。個別に設定するため柔軟性が高いのが特長です。ただし、複数のインターフェースに同じ設定をする場合、一括で設定できないという弱点があります。

通信先の増加でグループごとの制御が主流に

通信先の増加により、グループごとの制御が主流になりました。

通信先が増えると、インタフェースベースポリシーモデルは使いづらくなります。インターフェース数やセキュリティ機能、トラフィック量の増加・複雑化により、個別設定では大きな手間を要するようになったためです。

ゾーンベースポリシーモデルは、この問題を解決するために開発されました。同じ性質のインターフェースには同じゾーンを適用するだけで済むため、管理・運用の手間が削減できます。

CintOS７から実装されたfirewalldでは、このゾーンを利用してインターフェースをグループごとに簡単に設定できるようになりました。

ゾーンを効果的に設定するには？

CentOS７で標準搭載されたゾーンを、効果的に設定する方法を２つ解説します。

ゾーンのサービスを追加・削除して独自にグループ分けをする

ゾーンは追加・削除できます。ゾーンで通信をグループ化し、自社や個人の状況に合ったファイアウォール環境を構築しましょう。また、firewalldのゾーンはあらかじめ９種類搭載されていますが、これらの一部は編集できます。

たとえば、publicというゾーンは「dhcpv6-client」と「ssh」の２つのサービスしか許可していませんが、以下のように記述することで「http」を加えられます。

・firewall-cmd --zone=public --add-service=http

Permanentオプションで設定を恒久化する

ゾーンは編集しても、その編集内容は再起動時に破棄されてしまいます。それを防ぐためには、Permanentオプションを利用しましょう。たとえば、publicにhttpを恒久的に追加する場合は、以下の２つを記述します。

・firewall-cmd --zone=public --add-service=http --permanent
・firewall-cmd --reload

「permanent」を加えただけではすぐに反映されないので、「reload」で再読み込みさせる必要があります。

ファイアウォールのゾーンを理解して、適切に設定を！

ファイアウォールのゾーンとは、インターフェースをセクション単位ではなく性質単位で設定するための方式です。

LinuxのCentOS7で利用できます。ネット環境の複雑化に応じて誕生した概念で、複数のインターフェースをまとめて管理しやすい特長があります。ゾーンはあらかじめ搭載された内容の編集や、新規追加・削除が可能です。

自社の通信環境に合ったゾーンの設定をしてみてはいかがでしょうか。

ファイアウォールの製品を調べて比較

製品をまとめて資料請求！資料請求フォームはこちら

ファイアウォールの資料請求ランキングで製品を比較！今週のランキング第1位は？

ファイアウォールとルータの違いは？どちらも導入すべき？

ファイアウォールの基本的な機能や仕組みとは？

ファイアウォールの役割とは？機能や種類、未導入リスクも解説！

ファイアウォールの選び方とは？他のセキュリティ製品との違いも解説！

ファイアウォールのデメリットとは？防げない攻撃も解説！

ファイアウォールのソフトウェア型とハードウェア型の違いは？

ファイアウォールを減価償却する際に設定すべき耐用年数は？

ファイアウォールとNATの構成は？NATの種類や機能も解説！

ファイアウォールとウイルス対策ソフトの違いとは？

IT製品・サービスの比較・資料請求が無料でできる、ITトレンド。「ファイアウォールのゾーンとは？背景や設定のポイントも紹介」というテーマについて解説しています。ファイアウォールの製品導入を検討をしている企業様は、ぜひ参考にしてください。

5月20日(月) 更新
	次世代ファイアウォールアプライアンスFortiGate キヤノンシステムアンドサポート株式会社
	次世代ファイアウォールFortiGate 株式会社ピーエスアイ
	コンパクトボディに優れたセキュリティ対策を搭載NISG-3000 株式会社ケーエムケーワールド
一覧を見る