ファイアウォール
2024-05-13 (月) 09:05:35
ファイアウォール とは †
- ネットワークの境目に設置する、不正侵入を防ぐための装置・仕組み。
- 接続元IPアドレス、接続先IPアドレス、ポート、接続量、通信量を制御する。
- ACLに基づいてアクセス制御を行う。
- ポジティブセキュリティモデルにより、許可するルールを登録する
- 中継・遮断したパケットのヘッダ情報をログに記録する。
ファイアウォールの分類 †
ネットワークファイアウォール †
- 従来型のファイアウォール。
- TCP/IPのトランスポート層とネットワーク層で設定されたルールに基づいてパケットを中継・遮断する。
- IPアドレス、ポート番号でアクセスを制御する。
アプリケーションファイアウォール †
- TCP/IPのトランスポート層とネットワーク層に加えて、アプリケーション層の情報も使ってパケットを中継・遮断する。
- IPアドレス、ポート番号、ペイロードの情報でアクセスを制御する。
ファイアウォールの機能 †
基本的な機能 †
拡張的な機能 †
ファイアウォールの種類 †
UTM †
NGFW †
- Next Generation Firewall
- 次世代ファイアウォール
- L7ファイアウォール
WAF †
- 「WAF」参照
パーソナルファイアウォール †
- 個人が使用するPC上で動作するソフトウェア
- アクセス制御、不審な動作を検知する
フィルタリングの方式 †
パケットフィルタ型
(スタティックパケットフィルタ型) †
- フィルタリング方法
- パケットのヘッダ情報などで中継の可否を判断する
- IPアドレス(発信元、送信先)
- ポート番号(発信元、送信先)
- プロトコルの種別(TCP,UDPなど)
- パケットの方向(外向き、内向き)
- パケットのヘッダ情報などで中継の可否を判断する
- クライアントとサーバ間のコネクション
- ファイアウォール自体はコネクションを確立しない(クライアントとサーバが直接コネクションを確立する)
アプリケーションゲートウェイ型
(アプリケーションプロキシ型) †
- フィルタリング方法
- パケットフィルタ型が判断で使う情報に加えて、ペイロードに含まれる情報(アプリケーション層の情報)で中継の可否を判断する
- アプリケーション層のプログラム(HTTP,SMTPなど)ごとに別々の中継専用プログラム(プロキシ)を持つ
- クライアントとサーバ間のコネクション
- クライアントはファイアウォールとコネクションを確立して通信を行う。
- サーバとの接続は、ファイアウォールがクライアントの代わりにコネクションを確立して通信を行う。
サーキットレベルゲートウェイ型
(サーキットレベルプロキシ型) †
- フィルタリング方法
- パケットフィルタ型が判断で使う情報(ペイロードに含まれる情報は含まない)で中継の可否を判断する
- クライアントとサーバ間のコネクション
- クライアントはファイアウォールとコネクションを確立して通信を行う。
- サーバとの接続は、ファイアウォールはトランスポート層でコネクションを確立する(クライアントとサーバを結ぶ仮想的な通信経路(バーチャルサーキット)を確立する)。
ダイナミックパケットフィルタ型 †
- フィルタリング方法
- クライアントとサーバ間のコネクション
- ファイアウォール自体はコネクションを確立しない(クライアントとサーバが直接コネクションを確立する)
ステートフルインスペクション型 †
- SPI(Stateful Packet Inspection)
- Check Point社が開発したファイアウォールのアーキテクチャ。
- 基本的な仕組みはダイナミックパケットフィルタ型と同じ。
- アプリケーションごとの通信フローなどの情報に基づきフィルタリングを行う。
ファイアウォールのツール †
RHEL系 †
- ipchains
- iptables
- ip6tables
- firewalld
コマンド †
- iptables ※CentOS6以前
- firewall-cmd ※CentOS7以降
- 「firewalld」参照
- ufw ※Debian
フィルタリングルール(よく使われる設定) †
遮断(破棄) †
- プライベートアドレス(IPアドレス)
- 外部からの接続:接続元がプライベートアドレス
- 外部への接続:接続先がプライベートアドレス
- ポート番号(インターネットに公開しない)
製品 †
- Palo Alto Networks
- Cisco
- Fortinet
- Juniper
関連サイト †
- フィルタリングで遮断すべきポート番号 - @network Cisco・アライド実機で学ぶ
http://atnetwork.info/tcpip2/tcpip303.html