ファイアウォールの種類
ファイアウォールは大きく分けて「パケットフィルタリング型」と「ゲートウェイ型」の2種類です。ここではファイアウォールの種類別の特徴を解説していきます。
- ■パケットフィルタリング型
-
- スタティックパケットフィルタリング
- ダイナミックパケットフィルタリング
- ステートフルパケットインスペクション
- ■ゲートウェイ型
- ■サーキットゲートウェイ型
パケットフィルタリング型
パケットフィルタリング型は、通信を細分化したパケットを監視するファイアウォールです。
通信をパケット単位で解析し、決められたルールに基づいて通過の許否を判断します。事前に特定のソフトウェアやサービスの通信を設定することで、条件に合わないアクセスを効率的にシャットアウトできます。
パケットフィルタリングの仕組みは3種類ありますので、詳しく解説していきます。
スタティックパケットフィルタリング
スタティックパケットフィルタリングは、送信元・宛先アドレス、クライアントとサーバ間での通信プロトコルであるTCP・UDPのトラフィック、外部と通信する際にプログラムを識別するための番号であるポート番号、通信プロトコルなどを監視する仕組みです。事前に通過させてはいけない種類のパケットをリスト化し、通信の宛先情報が保存されているヘッダを監視します。
通過させてはいけないパケットに該当した場合は廃棄・拒否、または発信元にエラーメッセージが送信されますが、中身の精査はしないため偽装されたパケットまでは検出できません。サイバー攻撃などのアプリケーションの脆弱性を狙った攻撃も同様です。
また、シンプルな仕組みになっていますが、リスト化するまでに時間がかかるというデメリットもあります。
ダイナミックパケットフィルタリング
ダイナミックパケットフィルタリングは、必要に応じて通信に利用するポートを動的に割り当てる仕組みです。
ソフトウェアやサービスは、決められたポートを利用しつづけると、悪意のある第三者に不正アクセスされる可能性が高まります。必要な時にポートを開閉することで、攻撃される隙をなくしていきましょう。
ステートフルパケットインスペクション
ステートフルパケットインスペクションは、不正なパケット通信かどうかをコンテキスト(文脈)から判断する仕組みです。過去に送信された通信記録を文脈として記録しておき、現在の通信と矛盾点がある場合に廃棄・拒否します。
正当な手順を踏んで送信されたアクセスのみ通過させるので、高い防御性能を誇るファイアウォールの構築が可能です。しかし全ての通信のコンテキストを記録管理しておく必要があります。また、コンテキストを記録する関係上、大量のアクセスを主体とするサイバー攻撃である、DoS攻撃には弱いです。
ゲートウェイ型
ゲートウェイ型は、内部コンピュータの代わりに通信を行うファイアウォールです。「アプリケーションゲート型」や「プロキシサーバ型」とも呼ばれます。
ゲートウェイ型ファイアウォールは外部との通信における中継サーバであるプロキシによって内部コンピュータが完全に隠された状態で、悪意のある通信を監視します。データの細切れであるパケットの中身まで把握できるため、偽装アクセスなども見抜いてシャットアウトできます。
そのため、パケットフィルタリング型よりもセキュリティが高いといえるでしょう。ユーザーごとのアクセス制限・状況によるフィルタリング機能など、汎用的なセキュリティ構築に向いています。
サーキットゲートウェイ型
サーキットゲートウェイ型は、従来のパケットフィルタリング機能にポート制御機能を追加したファイアウォールです。サーバごとに任意のポートを割り当てられるので、特定のシステムやアプリケーションを制御したい時におすすめです。
そもそもファイアウォールとは?
ファイアウォールとは、そもそもどのようなシステムなのでしょうか。ここではファイアウォールの基本を紹介していきます。
不正アクセスをブロックするツール
ファイアウォールは、ネットワーク上の悪意のあるアクセスをブロックするセキュリティシステムです。「外部からの不正アクセス」や「ネットワーク攻撃」から、内部コンピュータを守るためのソフトウェア・ハードウェア全体を指します。
インターネットは非常に便利なサービスですが、匿名性が高いため、以下のような犯罪に利用されることもあります。
- ■コンピュータに不正アクセスし個人情報を盗む
- ■不正プログラムを実行させ、犯罪に協力させる
- ■悪意のあるスクリプトを送りつけログインパスワードを盗む
このようなネットワーク上の脅威は排除されるべきですが、インターネット上には交番のような機関はありません。そのような背景から、不正なアクセスをブロックするファイアウォールが誕生しました。
内部環境と外部環境の間に存在している
ファイアウォールは、内部環境と外部環境の中間地点に存在し、コンピューターや内部ネットワークへの不正アクセスを防止しています。内部と外部の唯一の玄関口に設置するのがポイントです。
ルータも外部と内部の間に設置するため似ていますが、ファイアウォールのほうがアクセス制御の性能が高いといえます。
ファイアウォールの必要性
ファイアウォールを導入する必要性とは何でしょうか。ここでは、ファイアウォールがネットワークセキュリティの基本となる重要なシステムということを再確認していきましょう。
不審な通信をブロックする「防火壁」と呼ばれている
ファイアウォールは、日本語で「防火壁」と訳されるシステムです。ファイアウォールがなければ、攻撃者はいとも簡単に内部ネットワークへ侵入できるでしょう。内部ネットワークと外部ネットワークとの間に立つ、ガードマンと呼べる存在がファイアウォールです。
ファイアウォールはセキュリティの基本である存在
ファイアウォールはすべてのネットワークサービスに導入されていると言っても過言でないほど、基本的なセキュリティシステムとして知られています。ほぼ全ての有料ウイルス対策ソフトに搭載されており、WindowsなどのOSにもデフォルトとして導入されています。
無料のソフトでも搭載されていることが多いですが、簡易的と言わざるをえません。そのため、ネットワークセキュリティが必要な環境で利用するなら、有料のファイアウォールをおすすめします。
ファイアウォールとWAFの違い
ファイアウォールと似たセキュリティ対策の1つとして「WAF」があります。WAFとファイアウォールは、不正アクセスなどの攻撃からコンピュータを守るという点は同じですが、明確に異なる点があります。ここからはファイアウォールとWAFの違いを説明します。
WAF:Webアプリケーションのファイアウォール
WAF(Web Application Firewall)は、その名のとおりWebアプリケーションに特化したファイアウォールです。一般的なファイアウォールとは違い、アプリケーション層で作動し、悪意ある攻撃から守ります。
アプリケーションの脆弱性を狙った攻撃に強く、Webサイトの脆弱性を利用した攻撃手法であるクロスサイトスクリプティングやWebアプリケーションの設計上の脆弱性を狙ったSQLインジェクションなどの、最新マルウェアにも対応可能です。
ファイアウォールとの違いは「守備範囲」
WAFとファイアウォールの大きな違いは、ネットワーク攻撃に関する守備範囲です。
- WAFの対象範囲
- Webアプリケーション
- ファイアウォールの対象範囲
- ネットワーク通信
ネットワーク攻撃は、外部ネットワークから内部ネットワークに侵入し、アプリケーションに不正アクセスすることで被害を拡大させていきます。WAFならアプリケーションレベルで対応できるため、一般的なファイアウォールより上位の攻撃も防げます。
ファイアウォールは外部ネットワークから侵入する不正アクセスはブロックします。しかし、http(80番)やhttps(443番)ポートを利用した通信を防ぐことはできません。一方、WAFなら通信の中身までチェックできるので、http(80番)/https(443番)ポートを利用した攻撃にも対応可能です。
ファイアウォールの種類を知り自社に合った対策をしよう
ファイアウォールには、「パケットフィルタリング型」と「ゲートウェイ型」の2種類があります。
IPごとにアクセス制限をするなど、とりあえずセキュリティ対策を施したいという場合はパケットフィルタリング型がおすすめです。ただし、通信の中身までは監視できないので、状況によってゲートウェイ型やWAFとの併用も必要となるでしょう。
それぞれ特徴が異なるため、導入の際は自社に合ったものを選びましょう。
以下の記事ではファイアウォールのおすすめ製品から選び方まで紹介しています。記事を読んでファイアウォールに興味を持たれた方はぜひご一読ください。
