ファイアウォール

ファイアウォール とは †

• ネットワークの境目に設置する、不正侵入を防ぐための装置・仕組み。
• 接続元IPアドレス、接続先IPアドレス、ポート、接続量、通信量を制御する。
• ACLに基づいてアクセス制御を行う。
  • ポジティブセキュリティモデルにより、許可するルールを登録する
• 中継・遮断したパケットのヘッダ情報をログに記録する。

ファイアウォールの分類 †

ネットワークファイアウォール †

• 従来型のファイアウォール。
• TCP/IPのトランスポート層とネットワーク層で設定されたルールに基づいてパケットを中継・遮断する。
• IPアドレス、ポート番号でアクセスを制御する。

アプリケーションファイアウォール †

• TCP/IPのトランスポート層とネットワーク層に加えて、アプリケーション層の情報も使ってパケットを中継・遮断する。
• IPアドレス、ポート番号、ペイロードの情報でアクセスを制御する。

ファイアウォールの機能 †

基本的な機能 †

• パケットフィルタリング

• アドレス変換機能（NAT、NAPT）
  • グローバルアドレスとプライベートアドレスを変換する

拡張的な機能 †

• VPNゲートウェイ
• IDSなど他のセキュリティ機能との連携
• マルチホーミング
• QoS (Quality of Service)
• VRRP
• マルチセグメント

ファイアウォールの種類 †

UTM †

• Unified Threat Management
• Universal Threat Management
• 統合脅威管理
• IPS機能や、AV、コンテンツフィルタリングなどの機能を持った製品

NGFW †

• Next Generation Firewall
• 次世代ファイアウォール
• L7ファイアウォール

WAF †

• 「WAF」参照

パーソナルファイアウォール †

• 個人が使用するPC上で動作するソフトウェア
• アクセス制御、不審な動作を検知する

フィルタリングの方式 †

パケットフィルタ型
(スタティックパケットフィルタ型) †

• フィルタリング方法
  • パケットのヘッダ情報などで中継の可否を判断する
    • IPアドレス(発信元、送信先)
    • ポート番号(発信元、送信先)
    • プロトコルの種別(TCP,UDPなど)
    • パケットの方向(外向き、内向き)
• クライアントとサーバ間のコネクション
  • ファイアウォール自体はコネクションを確立しない(クライアントとサーバが直接コネクションを確立する)

アプリケーションゲートウェイ型
(アプリケーションプロキシ型) †

• フィルタリング方法
  • パケットフィルタ型が判断で使う情報に加えて、ペイロードに含まれる情報(アプリケーション層の情報)で中継の可否を判断する
  • アプリケーション層のプログラム(HTTP,SMTPなど)ごとに別々の中継専用プログラム(プロキシ)を持つ
• クライアントとサーバ間のコネクション
  • クライアントはファイアウォールとコネクションを確立して通信を行う。
  • サーバとの接続は、ファイアウォールがクライアントの代わりにコネクションを確立して通信を行う。

サーキットレベルゲートウェイ型
(サーキットレベルプロキシ型) †

• フィルタリング方法
  • パケットフィルタ型が判断で使う情報(ペイロードに含まれる情報は含まない)で中継の可否を判断する
• クライアントとサーバ間のコネクション
  • クライアントはファイアウォールとコネクションを確立して通信を行う。
  • サーバとの接続は、ファイアウォールはトランスポート層でコネクションを確立する(クライアントとサーバを結ぶ仮想的な通信経路(バーチャルサーキット)を確立する)。

ダイナミックパケットフィルタ型 †

• フィルタリング方法
  • 静的なACLを使うスタティックパケットフィルタ型に対して、動的に生成するACLを使ってフィルタリングを行う方式
  • ACLにはコネクションを確立する方向のみを登録する。
  • 実際の接続要求が発生すると、各通信をセッション管理テーブルに登録して必要なACLが動的に生成される。セッションが終了すると生成したルールは破棄される。
• クライアントとサーバ間のコネクション
  • ファイアウォール自体はコネクションを確立しない(クライアントとサーバが直接コネクションを確立する)

ステートフルインスペクション型 †

• SPI(Stateful Packet Inspection)
• Check Point社が開発したファイアウォールのアーキテクチャ。
• 基本的な仕組みはダイナミックパケットフィルタ型と同じ。
• アプリケーションごとの通信フローなどの情報に基づきフィルタリングを行う。

ファイアウォールのツール †

RHEL系 †

• ipchains
• iptables
• ip6tables
• firewalld

コマンド †

• iptables　※CentOS6以前

• firewall-cmd　※CentOS7以降
  • 「firewalld」参照

• ufw　※Debian

フィルタリングルール(よく使われる設定) †

遮断(破棄) †

• プライベートアドレス(IPアドレス)
  • 外部からの接続：接続元がプライベートアドレス
  • 外部への接続：接続先がプライベートアドレス

• ポート番号(インターネットに公開しない)
  • 23：Telnet
  • 69：TFTP
  • 111：SUN RPC
  • 135：(Windows)RPC
  • 137~139：(Windows)NetBIOS関連
  • 161,162：SNMP
  • 445：(Windows)SMB(Server Message Block)
  • 512,513：UNIX リモートアクセス
  • 514：rsh(TCP), syslog(UDP)
  • 1433,1434：(Microsoft)SQL Server/SQL Monitor
  • 2049：SUN NFS

製品 †

• Palo Alto Networks
• Cisco
• Fortinet
• Juniper

関連サイト †

• フィルタリングで遮断すべきポート番号 - ＠network Cisco・アライド実機で学ぶ
  http://atnetwork.info/tcpip2/tcpip303.html

関連用語 †

• ACL
• ALGプロトコル
• DMZ
• HA
• NAT
• IPS
• IDS
• UTM
• セキュリティ
• ルータ
• ネットワーク機器
• 不正アクセス
• フィルタリング
• サンドボックス