ファイアウォールポリシーとは
ファイアウォールポリシーの概要を説明します。
アクセス制限のルールのこと
ファイアウォールポリシーとは、アクセス制限のルールのことです。ただし、アクセス制限に限らず、セキュリティに関するルール全般を指すこともあります。
ファイアウォールはインターネットと内部ネットワークの出入口に設置し、不正なアクセスを排除するものです。ポリシーの内容によって、ファイアウォールがどのように通信トラフィックをコントロールするのかが決まります。
適切に設定することでセキュリティレベルが向上する
ファイアウォールポリシーを適切に設定することで、セキュリティレベルが向上します。そのため、通信要件やネットワーク構成を変えた際には、それに合わせてポリシーも変更しなければなりません。
逆に、適切に設定しなければセキュリティレベルや利便性が低下します。適切にトラフィックをコントロールできず、思わぬトラブルが起きるおそれがあります。
ファイアウォールポリシーの代表的な設定項目
ファイアウォールポリシーにはどのような設定項目があるのでしょうか。
TCP/IPプロトコル
TCP/IPプロトコルの項目を設定することで、ファイアウォールを通過する通信をコントロールできます。
TCP/IPプロトコルとは、Web閲覧やメール送受信で用いられる通信規格です。異なるOSの端末同士でも通信が成立するのは、TCP/IPプロトコルという共通のルールに従っているためです。
ファイアウォールポリシーの設定項目にもTCP/IPプロトコルがあります。具体的には、以下の項目に細分化されます。
- ■HTTP
- ■SSL
- ■POP3・SMTP
- ■FTP
- ■SMB
- ■DHCP
- ■NTP
- ■TCP・UDP
- ■IP
- ■IPsec
- ■Ethernet
- ■PPPoE
これらの可否を設定することで、通信をコントロールできます。
アプリケーションの許可
パケットフィルタリングにより、アプリケーションの許可を設定できます。ファイアウォールを通過するパケットをすべて確認し、許可したアプリケーション以外は排除します。
そのためには、アプリケーションに使用されるTCP/UDPのポート番号が必要です。ファイアウォール側でまずすべての通信を禁止にし、許可したいアプリだけをTCP/UDPポート番号で指定します。
ユーザー識別
ユーザーを識別し、指定したユーザーの通信のみを許可できます。
企業の従業員とそれ以外のユーザーを識別するだけでなく、企業内での内部統制に利用できるでしょう。部署ごとにアクセス可能なユーザーを識別するなどし、情報漏えいなどのトラブルを防止できます。
ユーザー名やパスワードのほか、電子証明書などを利用してアクセスの可否を設定できます。
ファイアウォールポリシーを設定する際のポイント
ファイアウォールポリシーを設定する際、どのようなことを意識すればよいのでしょうか。
たとえば、特定のパソコンでメールの送受信だけを許可したい場合、そのIPアドレスを指定して以下の設定を行います。
- ■送受信メールサーバとの行きと戻りの通信を許可
- ■DNSサーバとの行きと戻りの通信を許可
- ■上記以外はすべて遮断
この設定例をもとに、ポイントを見ていきましょう。
静的フィルタの場合は戻りの記述をする
静的フィルタの場合は戻りの記述をしましょう。
静的フィルタとは、状況に応じて変化することなく、常にポリシー通りに働くフィルタです。そのため、行きの通信だけでなく、別途に戻りの通信も許可しなければ、遮断されてしまいます。
一方、動的フィルタであれば戻りの通信を許可する必要はありません。行きの通信のみを許可すれば、戻りの通信は自動的に通過すべきだと判断されます。
必要のない通信は基本すべて遮断する
ファイアウォールポリシーにおいては、不要な通信はすべて遮断するのが基本です。
そのため、まずは許可したい通信を洗い出しましょう。業務に必要な通信だけを抜き出し、それを許可する記述をファイアウォールポリシーに設定します。そして、設定されていない通信はすべて遮断する(CUTをもとにした設定)状態にして運用しましょう。
このような設定にすることで外部からの攻撃防止や、内部での無駄なトラフィックの減少が期待できます。
運用前にポリシーテストを行う
ポリシーが正しく設計されているかを調べるため、運用前にポリシーテストを行いましょう。
ただし、手動でテストを行うには、運用環境に近い状態を再現しなければなりません。設置した機器とアドレスが同じサーバやネットワークが必要となり、多くの手間と時間を要します。
そのため、ファイアウォールテスターの利用がおすすめです。ポリシーテストを自動化でき、必要工数が削減できます。
適切なポリシー設定で、自社のセキュリティ向上!
ファイアウォールポリシーとは、通過する通信の可否を判断するルールです。これを適切に設定することでセキュリティが強固になります。
代表的な設定項目は以下の通りです。
- ■TCP/IPプロトコル
- ■アプリケーション許可
- ■ユーザー識別
設定する際のポイントは以下の通りです。
- ■静的フィルタは行きと戻りの記述が必要
- ■不要な通信はすべて遮断
- ■テストを行う
ぜひ参考にして、セキュリティレベルを向上させてください。
