![[PukiWiki]](image/pukiwiki.png "[PukiWiki]")
#author("2024-09-21T22:48:10+09:00","default:k1rou","k1rou") #author("2024-11-02T22:37:09+09:00","default:k1rou","k1rou") *ファイアウォール とは [#i5781880] -[[ネットワーク]]の境目に設置する、不正侵入を防ぐための装置・仕組み。 -接続元IPアドレス、接続先IPアドレス、ポート、接続量、通信量を制御する。 -[[ACL]]に基づいて[[アクセス制御]]を行う。 --[[ポジティブセキュリティモデル]]により、許可するルールを登録する -中継・遮断したパケットのヘッダ情報をログに記録する。 *ファイアウォールの分類 [#bb564eeb] **ネットワークファイアウォール [#u463ec08] -従来型のファイアウォール。 -[[TCP/IP]]のトランスポート層とネットワーク層で設定されたルールに基づいてパケットを中継・遮断する。 -IPアドレス、ポート番号でアクセスを制御する。 **アプリケーションファイアウォール [#za386364] -[[TCP/IP]]のトランスポート層とネットワーク層に加えて、アプリケーション層の情報も使ってパケットを中継・遮断する。 -IPアドレス、ポート番号、ペイロードの情報でアクセスを制御する。 *ファイアウォールの機能 [#d101a43f] **基本的な機能 [#x854e961] -[[パケットフィルタリング]] -アドレス変換機能([[NAT]]、[[NAPT]]) --グローバルアドレスとプライベートアドレスを変換する **拡張的な機能 [#aa49f1a1] -[[VPN]]ゲートウェイ -IDSなど他のセキュリティ機能との連携 -[[マルチホーミング]] -[[QoS]] (Quality of Service) -[[VRRP]] -[[マルチセグメント]] *ファイアウォールの種類 [#fcad2bc4] **UTM [#y3146c2b] -Unified Threat Management -Universal Threat Management -統合脅威管理 -[[IPS]]機能や、[[AV]]、コンテンツ[[フィルタリング]]などの機能を持った製品 **NGFW [#be3e5ae1] -Next Generation Firewall -[[次世代ファイアウォール]] -L7ファイアウォール **WAF [#d712a06a] -「[[WAF]]」参照 **パーソナルファイアウォール [#m3f1e11f] -個人が使用するPC上で動作するソフトウェア -アクセス制御、不審な動作を検知する *フィルタリングの方式 [#f3fafe02] **パケットフィルタ型&br; (スタティックパケットフィルタ型) [#kf0e06b3] -フィルタリング方法 --[[パケット]]のヘッダ情報などで中継の可否を判断する ---IPアドレス(発信元、送信先) ---ポート番号(発信元、送信先) ---プロトコルの種別(TCP,UDPなど) ---パケットの方向(外向き、内向き) -クライアントとサーバ間のコネクション --ファイアウォール自体はコネクションを確立しない(クライアントとサーバが直接コネクションを確立する) **アプリケーションゲートウェイ型&br; (アプリケーションプロキシ型) [#o2777ef4] -フィルタリング方法 --パケットフィルタ型が判断で使う情報に加えて、ペイロードに含まれる情報(アプリケーション層の情報)で中継の可否を判断する --アプリケーション層のプログラム(HTTP,SMTPなど)ごとに別々の中継専用プログラム([[プロキシ]])を持つ -クライアントとサーバ間のコネクション --クライアントはファイアウォールとコネクションを確立して通信を行う。 --サーバとの接続は、ファイアウォールがクライアントの代わりにコネクションを確立して通信を行う。 **サーキットレベルゲートウェイ型&br; (サーキットレベルプロキシ型) [#la3c2229] -フィルタリング方法 --パケットフィルタ型が判断で使う情報(ペイロードに含まれる情報は含まない)で中継の可否を判断する -クライアントとサーバ間のコネクション --クライアントはファイアウォールとコネクションを確立して通信を行う。 --サーバとの接続は、ファイアウォールはトランスポート層でコネクションを確立する(クライアントとサーバを結ぶ仮想的な通信経路(バーチャルサーキット)を確立する)。 **ダイナミックパケットフィルタ型 [#m0a6bc62] -フィルタリング方法 --静的な[[ACL]]を使うスタティックパケットフィルタ型に対して、動的に生成する[[ACL]]を使ってフィルタリングを行う方式 --[[ACL]]にはコネクションを確立する方向のみを登録する。 --実際の接続要求が発生すると、各通信をセッション管理テーブルに登録して必要なACLが動的に生成される。セッションが終了すると生成したルールは破棄される。 -クライアントとサーバ間のコネクション --ファイアウォール自体はコネクションを確立しない(クライアントとサーバが直接コネクションを確立する) **ステートフルインスペクション型 [#vd11287b] -[[SPI(Stateful Packet Inspection)]] -Check Point社が開発したファイアウォールのアーキテクチャ。 -基本的な仕組みはダイナミックパケットフィルタ型と同じ。 -アプリケーションごとの通信フローなどの情報に基づきフィルタリングを行う。 *ファイアウォールのツール [#ybb9b0cd] **RHEL系 [#c419f675] -ipchains -iptables -ip6tables -[[firewalld]] *コマンド [#bbd0a402] -iptables ※CentOS6以前 -firewall-cmd ※CentOS7以降 --「[[firewalld]]」参照 -[[ufw]] ※Debian *フィルタリングルール(よく使われる設定) [#lb7d9353] **遮断(破棄) [#c2a826c4] -プライベートアドレス(IPアドレス) --外部からの接続:接続元がプライベートアドレス --外部への接続:接続先がプライベートアドレス -ポート番号(インターネットに公開しない) --23:[[Telnet]] --69:[[TFTP]] --111:SUN RPC --135:(Windows)RPC --137~139:(Windows)NetBIOS関連 --161,162:[[SNMP]] --445:(Windows)SMB(Server Message Block) --512,513:UNIX リモートアクセス --514:rsh(TCP), syslog(UDP) --1433,1434:(Microsoft)SQL Server/SQL Monitor --2049:SUN NFS *製品 [#ic4f0a70] -Palo Alto Networks -Cisco -Fortinet --FortiGate -Juniper *関連サイト [#h88bbc2e] -フィルタリングで遮断すべきポート番号 - @network Cisco・アライド実機で学ぶ~ http://atnetwork.info/tcpip2/tcpip303.html *関連用語 [#id442ee5] -[[ACL]] -[[ALGプロトコル]] -[[DLP]] -[[DMZ]] -[[HA]] -[[NAT]] -[[IPS]] -[[IDS]] -[[UTM]] -[[セキュリティ]] -[[ルータ]] -[[ネットワーク機器]] -[[不正アクセス]] -[[フィルタリング]] -[[サンドボックス]] -[[ポートノッキング]]
