ファイアウォールの基本的な機能

ファイアウォール３つの基本機能

機能1　フィルタリング

発信元や通信情報などから正しい通信を選別し、その通信だけを通すことで、不正な通信を遮断する機能です。

ファイアウォールのもっとも基本的な機能であり、クライアントPCに搭載されているパーソナルファイアウォールと、ネットワークの防御を担うゲートウェイ型ファイアウォールの違いは、この機能の違いといっても良いでしょう。

フィルタリングの手法には大きく分けて3つの種類があり、単純なものから並べると、静的フィルタリング、動的フィルタリング、ステートフル・インスペクション、プロキシ型フィルタリングの4つになります。

ポート番号やプロトコル、IPアドレスなどで構成された発信と応答の通信可否リストを作成しておき、それをもとに通信の制御をする静的フィルタリング、発進時に応答の通信許可情報を自動生成する動的フィルタリングの2つは、通信のヘッダ情報で制御を行うため処理もそれほど難しくなく、ブロードバンドルーターなどにも搭載されていることが多いです。

ステートフル・インスペクションは少し高度なもので、ヘッダだけではなく通信の手順について解析し、通信可否を判断することで、静的、動的フィルタリングでキャッチできない不正な通信を遮断することが可能です。

最後のプロキシ型フィルタリングは、上3つよりさらに踏み込み、通信内容までチェックすることで、より高度な偽装を検知し、通信の制御を行います。ただし、この方式は他とは処理のレイヤが違いますし、大きなデータを解析する必要がありますので、特別な機器が必要になる場合が多いです。

機能2　NAT

NAT（ネットワークアドレス変換）もファイアウォールの根幹をなす基本機能の一つです。

NATというのは、IPアドレスを変換する仕組みで、主にネットワーク内のプライベートIPアドレスとインターネットのグローバルIPアドレスの1対1変換に使われます。

なお、インターネットから内部ネットワークの特定のPCへの通信について、どのPC宛なのかを特定するため、プライベートIPに加えて、各PCごとに割り当てたポート番号を合わせてアドレス変換を行うNAPTという仕組みを使用します。グローバルIPはネットワークごとに一つしか割り当てらないのが普通ですが、この仕組みのおかげで、内部ネットワークの複数のPCがインターネットに接続することができるわけです。

このNATの仕組みを使用することで、任意の通信を内部ネットワークの特定のPCへ誘導することができますので、アクセス制限の厳しいセクションと、公開サーバーを設置するような多くの人がアクセス出来るセクションなどと、セキュリティレベルを分割することができるわけです。

機能3　リモート管理

内部ネットワークは常に危険にさらされており、外部からの攻撃は時間を選んでくれません。そのため、ファイアウォールを管理して状況を把握し、できる限りリアルタイムに対応していく必要があります。

そんなときに効果を発揮するのが、ファイアウォールのリモート管理機能です。この機能を使うことで、管理者は直接ファイアウォールを操作することなく、遠隔地から管理運用することができます。

その詳細な機能は、ログ取得や閲覧はもちろんのこと、その結果である設定変更、ソフトウェアのアップデートなどのメンテナンス、そして設定情報のバックアップとリストアです。これらの操作を多くの場合はブラウザ上から実施することができるようになっています。

基本だからこそ、隙のない設定と管理が必要

多くの優秀なセキュリティ機器やサービスが乱立する中、ファイアウォールは広く一般に普及しており、ある意味陳腐化したセキュリティ対策になっています。

しかしだからこそ、インターネットに接続した環境にとっては、外すことのできない必須の対策と言えるものです。

ただし、設置するだけではなんの対策にもなりませんので、ここに説明した3つの基本機能をきちんと活用し、漏れなく最適な設定をしておくことが、多くのセキュリティ対策の基礎となるのです。 今後、より高度化していく外部からの攻撃に備え、最低限の基礎としてファイアウォールを活用していくことが重要になっていくことでしょう。