ファイアウォールポリシーとは？設定項目や策定のポイントを解説！

ファイアウォールポリシーとは

ファイアウォールポリシーの概要を説明します。

アクセス制限のルールのこと

ファイアウォールポリシーとは、アクセス制限のルールのことです。ただし、アクセス制限に限らず、セキュリティに関するルール全般を指すこともあります。

ファイアウォールはインターネットと内部ネットワークの出入口に設置し、不正なアクセスを排除するものです。ポリシーの内容によって、ファイアウォールがどのように通信トラフィックをコントロールするのかが決まります。

適切に設定することでセキュリティレベルが向上する

ファイアウォールポリシーを適切に設定することで、セキュリティレベルが向上します。そのため、通信要件やネットワーク構成を変えた際には、それに合わせてポリシーも変更しなければなりません。

逆に、適切に設定しなければセキュリティレベルや利便性が低下します。適切にトラフィックをコントロールできず、思わぬトラブルが起きるおそれがあります。

ファイアウォールポリシーの代表的な設定項目

ファイアウォールポリシーにはどのような設定項目があるのでしょうか。

TCP／IPプロトコル

TCP／IPプロトコルの項目を設定することで、ファイアウォールを通過する通信をコントロールできます。

TCP／IPプロトコルとは、Web閲覧やメール送受信で用いられる通信規格です。異なるOSの端末同士でも通信が成立するのは、TCP／IPプロトコルという共通のルールに従っているためです。

ファイアウォールポリシーの設定項目にもTCP／IPプロトコルがあります。具体的には、以下の項目に細分化されます。

• ■HTTP
• ■SSL
• ■POP3・SMTP
• ■FTP
• ■SMB
• ■DHCP
• ■NTP
• ■TCP・UDP
• ■IP
• ■IPsec
• ■Ethernet
• ■PPPoE

これらの可否を設定することで、通信をコントロールできます。

アプリケーションの許可

パケットフィルタリングにより、アプリケーションの許可を設定できます。ファイアウォールを通過するパケットをすべて確認し、許可したアプリケーション以外は排除します。

そのためには、アプリケーションに使用されるTCP／UDPのポート番号が必要です。ファイアウォール側でまずすべての通信を禁止にし、許可したいアプリだけをTCP／UDPポート番号で指定します。

ユーザー識別

ユーザーを識別し、指定したユーザーの通信のみを許可できます。

企業の従業員とそれ以外のユーザーを識別するだけでなく、企業内での内部統制に利用できるでしょう。部署ごとにアクセス可能なユーザーを識別するなどし、情報漏えいなどのトラブルを防止できます。

ユーザー名やパスワードのほか、電子証明書などを利用してアクセスの可否を設定できます。

ファイアウォールポリシーを設定する際のポイント

ファイアウォールポリシーを設定する際、どのようなことを意識すればよいのでしょうか。

たとえば、特定のパソコンでメールの送受信だけを許可したい場合、そのIPアドレスを指定して以下の設定を行います。

• ■送受信メールサーバとの行きと戻りの通信を許可
• ■DNSサーバとの行きと戻りの通信を許可
• ■上記以外はすべて遮断

この設定例をもとに、ポイントを見ていきましょう。

静的フィルタの場合は戻りの記述をする

静的フィルタの場合は戻りの記述をしましょう。

静的フィルタとは、状況に応じて変化することなく、常にポリシー通りに働くフィルタです。そのため、行きの通信だけでなく、別途に戻りの通信も許可しなければ、遮断されてしまいます。

一方、動的フィルタであれば戻りの通信を許可する必要はありません。行きの通信のみを許可すれば、戻りの通信は自動的に通過すべきだと判断されます。

必要のない通信は基本すべて遮断する

ファイアウォールポリシーにおいては、不要な通信はすべて遮断するのが基本です。

そのため、まずは許可したい通信を洗い出しましょう。業務に必要な通信だけを抜き出し、それを許可する記述をファイアウォールポリシーに設定します。そして、設定されていない通信はすべて遮断する（CUTをもとにした設定）状態にして運用しましょう。

このような設定にすることで外部からの攻撃防止や、内部での無駄なトラフィックの減少が期待できます。

運用前にポリシーテストを行う

ポリシーが正しく設計されているかを調べるため、運用前にポリシーテストを行いましょう。

ただし、手動でテストを行うには、運用環境に近い状態を再現しなければなりません。設置した機器とアドレスが同じサーバやネットワークが必要となり、多くの手間と時間を要します。

そのため、ファイアウォールテスターの利用がおすすめです。ポリシーテストを自動化でき、必要工数が削減できます。

適切なポリシー設定で、自社のセキュリティ向上！

ファイアウォールポリシーとは、通過する通信の可否を判断するルールです。これを適切に設定することでセキュリティが強固になります。

代表的な設定項目は以下の通りです。

• ■TCP／IPプロトコル
• ■アプリケーション許可
• ■ユーザー識別

設定する際のポイントは以下の通りです。

• ■静的フィルタは行きと戻りの記述が必要
• ■不要な通信はすべて遮断
• ■テストを行う

ぜひ参考にして、セキュリティレベルを向上させてください。