ファイアウォール の履歴(No.2)

• 履歴一覧
• 差分 を表示
• 現在との差分 を表示
• ソース を表示
• ファイアウォール へ行く。
  • 1 (2021-11-14 (日) 21:03:19)
  • 2 (2021-11-15 (月) 10:08:41)
  • 3 (2021-12-03 (金) 11:25:55)
  • 4 (2022-01-07 (金) 13:12:30)
  • 5 (2022-03-15 (火) 13:54:28)
  • 6 (2022-03-15 (火) 21:41:28)
  • 7 (2022-08-08 (月) 08:06:00)
  • 8 (2022-09-10 (土) 11:34:18)
  • 9 (2022-09-13 (火) 08:23:25)
  • 10 (2022-09-14 (水) 22:04:17)
  • 11 (2023-03-04 (土) 12:13:46)
  • 12 (2024-05-13 (月) 09:05:35)
  • 13 (2024-09-08 (日) 20:19:06)
  • 14 (2024-09-21 (土) 22:48:10)

---

ファイアウォール とは†

• ネットワークの境目に設置する、不正侵入を防ぐための装置・仕組み。
• 接続元IPアドレス、接続先IPアドレス、ポート、接続量、通信量を制御する。
• ACLに基づいてアクセス制御を行う。
  • ポジティブセキュリティモデル
• 中継・遮断したパケットのヘッダ情報をログに記録する。

ファイアウォールの分類†

ネットワークファイアウォール†

• 従来型のファイアウォール。
• TCP/IPのトランスポート層とネットワーク層で設定されたルールに基づいてパケットを中継・遮断する。
• IPアドレス、ポート番号でアクセスを制御する。

アプリケーションファイアウォール†

• TCP/IPのトランスポート層とネットワーク層に加えて、アプリケーション層の情報も使ってパケットを中継・遮断する。
• IPアドレス、ポート番号、ペイロードの情報でアクセスを制御する。

ファイアウォールの機能†

基本的な機能†

• パケットフィルタリング

• アドレス変換機能（NAT、NAPT）
  • グローバルアドレスとプライベートアドレスを変換する

拡張的な機能†

• VPNゲートウェイ
• IDSなど他のセキュリティ機能との連携
• マルチホーミング
• QoS (Quality of Service)
• VRRP
• マルチセグメント

ファイアウォールの種類†

UTM†

• Unified Threat Management
• Universal Threat Management
• 統合脅威管理
• IPS機能や、AV、コンテンツフィルタリングなどの機能を持った製品

NGFW†

• Next Generation Firewall

WAF†

• 「WAF」参照

パーソナルファイアウォール†

• 個人が使用するPC上で動作するソフトウェア
• アクセス制御、不審な動作を検知する

フィルタリングの方式†

パケットフィルタ型 (スタティックパケットフィルタ型)†

• フィルタリング方法
  • パケットのヘッダ情報(IPアドレス、ポート番号)、プロトコルの種別(TCP,UDPなど)、パケットの方向で中継の可否を判断する
• クライアントとサーバ間のコネクション
  • ファイアウォール自体はコネクションを確立しない(クライアントとサーバが直接コネクションを確立する)

アプリケーションゲートウェイ型 (アプリケーションプロキシ型)†

• フィルタリング方法
  • パケットフィルタ型が判断で使う情報に加えて、ペイロードに含まれる情報(アプリケーション層の情報)で中継の可否を判断する
  • アプリケーション層のプログラム(HTTP,SMTPなど)ごとに別々の中継専用プログラム(プロキシ)を持つ
• クライアントとサーバ間のコネクション
  • クライアントはファイアウォールとコネクションを確立して通信を行う。
  • サーバとの接続は、ファイアウォールがクライアントの代わりにコネクションを確立して通信を行う。

サーキットレベルゲートウェイ型 (サーキットレベルプロキシ型)†

• フィルタリング方法
  • パケットフィルタ型が判断で使う情報(ペイロードに含まれる情報は含まない)で中継の可否を判断する
• クライアントとサーバ間のコネクション
  • クライアントはファイアウォールとコネクションを確立して通信を行う。
  • サーバとの接続は、ファイアウォールはトランスポート層でコネクションを確立する(クライアントとサーバを結ぶ仮想的な通信経路(バーチャルサーキット)を確立する)。

ダイナミックパケットフィルタ型†

• フィルタリング方法
  • 静的なACLを使うスタティックパケットフィルタ型に対して、動的に生成するACLを使ってフィルタリングを行う方式
  • ACLにはコネクションを確立する方向のみを登録する。
  • 実際の接続要求が発生すると、各通信をセッション管理テーブルに登録して必要なACLが動的に生成される。セッションが終了すると生成したルールは破棄される。
• クライアントとサーバ間のコネクション
  • ファイアウォール自体はコネクションを確立しない(クライアントとサーバが直接コネクションを確立する)

ステートフルインスペクション型†

• SPI(Stateful Packet Inspection)
• Check Point社が開発したファイアウォールのアーキテクチャ。
• 基本的な仕組みはダイナミックパケットフィルタ型と同じ。
• アプリケーションごとの通信フローなどの情報に基づきフィルタリングを行う。

ファイアウォールのツール†

RHEL系†

• ipchains
• iptables
• ip6tables
• firewalld

コマンド†

• iptables　※CentOS6以前

• firewall-cmd　※CentOS7以降
  • 「firewalld」参照

フィルタリングルール(よく使われる設定)†

遮断(破棄)†

• プライベートアドレス(IPアドレス)
  • 外部からの接続：接続元がプライベートアドレス
  • 外部への接続：接続先がプライベートアドレス

• ポート番号(インターネットに公開しない)
  • 23：Telnet
  • 69：TFTP
  • 111：SUN RPC
  • 135：(Windows)RPC
  • 137~139：(Windows)NetBIOS関連
  • 161,162：SNMP
  • 445：(Windows)SMB(Server Message Block)
  • 512,513：UNIX リモートアクセス
  • 514：rsh(TCP), syslog(UDP)
  • 1433,1434：(Microsoft)SQL Server/SQL Monitor
  • 2049：SUN NFS

関連サイト†

• フィルタリングで遮断すべきポート番号 - ＠network Cisco・アライド実機で学ぶ
  http://atnetwork.info/tcpip2/tcpip303.html

関連用語†

• ACL
• DMZ
• HA
• NAT
• IPS
• IDS
• セキュリティ
• ルータ
• ネットワーク機器
• 不正アクセス
• フィルタリング
• サンドボックス