ファイアウォールの構築方法
ファイアウォールは、3種類の構築方法が知られています。それぞれの特徴をご紹介していきます。
スクリーンホスト
スクリーンホストとはスクリーニングルーターと要塞ホストからなる、ファイアウォールの構築方法です。
外部からの通信はスクリーニングルーターでパケットをフィルタリングし、要塞ホストでパケットを破棄するか判別します。内部からの通信は要塞ホストを通過し、スクリーニングルーターから外部へつなぎます。
要塞ホストは外部から見える位置にあり、要塞ホストが攻撃されれば内部への侵入が可能になります。そのため要塞ホストは攻撃の対象になりやすく、厳重なセキュリティが必要です。しかし多重防御にはコストがかかるのが難点です。
中には、攻撃者や攻撃手法などを調べるために、ハニーポット(囮)としてスクリーンホストを利用する方もいます。ハニーポットによって攻撃者の目をそらし、本当に重要なシステムへの攻撃を避ける目的もあります。
デュアルホーム
デュアルホームは、外部ネットワークと内部ネットワークの間で、異なるインターフェース(デュアル)を利用したファイアウォールの構築方法です。
外部ネットワークと内部ネットワークの間に、異なるインターフェースを持つ1台の中継機が置かれ、ホストコンピューターが陥落しない限り外部からの通信を完全に遮断します。
それではデュアルホームの特徴について確認していきましょう。具体的には以下のものがあります。
- ■通信を遮断して内部干渉を防ぐ
- ■中継機のプロキシで代理通信する
→パケット通信が内部ネットワークに侵入しない
デュアルホームはスクリーンホストと違って、外部と直接通信を行いません。中継機のプロキシ(代理通信)により、間接的に通信するためです。ただし、1台の中継機がセキュリティの要となっているため、これが攻撃されると不正アクセスの制御はできないでしょう。
スクリーンサブネット
スクリーンサブネットは、要塞ホストに「サブネット(DMZ)」という外部から攻撃されにくい境界ネットワークを追加したファイアウォールの構築方法です。サブネットによって、外部ネットワークと内部ネットワークを完全に分離します。
スクリーンホストよりもセキュリティ強度が高いものがスクリーンサブネットですので、主流の構築方法といえるでしょう。
それではスクリーンサブネットの特徴について確認していきましょう。具体的には以下のものがあります。
- ■要塞ホストが陥落しても内部ネットワークに影響がない
- ■内部ネットワークからの攻撃も防ぐ
外部と内部の間に、要塞ホスト・サブネットが設置されるので、要塞ホストが攻撃を受けてもサブネットがあることで、内部ネットワークにまで被害が及ぶことはないでしょう。
また、スクリーンホストでは内部からの通信に関しては無防備でしたが、サブネットによってその問題も解決します。サブネットが内部からの通信も防御するため、内部コンピュータのマルウェア感染による攻撃も防ぎます。
ファイアウォール構築の注意点
続いて、ファイアウォールを自社に構築する際の注意点を解説していきます。
ファイアウォールが自社に合っているか確認すべき
ファイアウォールは、すべての通信を防御できるわけではありません。ファイアウォールはネットワーク層しか防御できないので、OSやWebアプリケーションの防御は別のセキュリティ対策が必要となります。
さらに、ファイアウォールの種類によって仕組みや役割が異なります。そのため、導入の際は自社に合うか確認しましょう。また具体的なファイアウォールの種類は以下のものがあります。
- ■パーソナルファイアウォール
- 1台のコンピュータを守る
- ■一般的なファイアウォール
- 悪意のあるネットワーク通信から内部ネットワークを守る
パーソナルファイアウォールは、コンピュータ自身に構築されるファイアウォールです。一般的なファイアウォールとは防御対象の規模が異なるため、状況に応じた使い分けが必要になります。
運用しやすいか確認すべき
ファイアウォールを選ぶ際は、運用することを視野に入れて構築を行う必要があります。そのため、運用のしやすさは大きなポイントです。
また、すべてのネットワークの通信を扱うことから、通信量の増大に対応する処理能力や、ファイアウォールそのものの性能の高さなどが重要なポイントとなるでしょう。
クラウドで提供されているファイアウォールサービスは、運用性に優れているため初心者でも使いやすくなってます。
しかし、確認せず導入すれば、トラフィック量の増大による処理速度の低下や、ハードウェアの障害による運用停止など予期せぬトラブルが発生する可能性もあります。トラブルが発生した時のために、復旧体制を整えるのも大切です。
OS標準搭載のファイアウォールでは不十分?
ファイアウォールはOSに標準搭載されており自由に設定可能ですが、それだけでは不十分です。市販のファイアウォールは必要ないと思われがちですが、一概にそうとは言えません。OS標準搭載のファイアウォールのデメリットは以下のとおりです。
- OS標準搭載のファイアウォールのデメリット
-
- ■コンピュータ自身を守るパーソナルファイアウォール
→外部へ出ていく通信を監視できない - ■セキュリティ設定が複雑
→パソコン初心者には使いこなせない
- ■コンピュータ自身を守るパーソナルファイアウォール
通信の監視精度や、簡単な設定が可能な市販のファイアウォールは、OS標準搭載のファイアウォールと比べて性能面で勝っているといえます。さらに、インターフェース・情報漏洩防止・ログ管理など、豊富な機能を利用した汎用的なセキュリティ構築が可能です。
自社に合ったファイアウォールを構築しましょう
ファイアウォールは外部ネットワークから内部コンピュータを守る、インターネットセキュリティです。外部ネットワークと内部ネットワークの間に位置し、内部コンピューターへの不正アクセスを防ぎます。
想定される通信量に耐えられる処理能力や性能の高さを考慮して、自社に合ったものを導入してください。
