#author("2023-03-04T11:51:19+09:00","default:k1rou","k1rou")
#author("2023-03-04T12:13:46+09:00","default:k1rou","k1rou")
*ファイアウォール とは [#i5781880]
-[[ネットワーク]]の境目に設置する、不正侵入を防ぐための装置・仕組み。
-接続元IPアドレス、接続先IPアドレス、ポート、接続量、通信量を制御する。
-[[ACL]]に基づいて[[アクセス制御]]を行う。
--[[ポジティブセキュリティモデル]]
--[[ポジティブセキュリティモデル]]により、許可するルールを登録する
-中継・遮断したパケットのヘッダ情報をログに記録する。
*ファイアウォールの分類 [#bb564eeb]
**ネットワークファイアウォール [#u463ec08]
-従来型のファイアウォール。
-[[TCP/IP]]のトランスポート層とネットワーク層で設定されたルールに基づいてパケットを中継・遮断する。
-IPアドレス、ポート番号でアクセスを制御する。
**アプリケーションファイアウォール [#za386364]
-[[TCP/IP]]のトランスポート層とネットワーク層に加えて、アプリケーション層の情報も使ってパケットを中継・遮断する。
-IPアドレス、ポート番号、ペイロードの情報でアクセスを制御する。
*ファイアウォールの機能 [#d101a43f]
**基本的な機能 [#x854e961]
-[[パケットフィルタリング]]
-アドレス変換機能([[NAT]]、[[NAPT]])
--グローバルアドレスとプライベートアドレスを変換する
**拡張的な機能 [#aa49f1a1]
-[[VPN]]ゲートウェイ
-IDSなど他のセキュリティ機能との連携
-[[マルチホーミング]]
-[[QoS]] (Quality of Service)
-[[VRRP]]
-[[マルチセグメント]]
*ファイアウォールの種類 [#fcad2bc4]
**UTM [#y3146c2b]
-Unified Threat Management
-Universal Threat Management
-統合脅威管理
-[[IPS]]機能や、[[AV]]、コンテンツ[[フィルタリング]]などの機能を持った製品
**NGFW [#be3e5ae1]
-Next Generation Firewall
-次世代ファイアウォール
-L7ファイアウォール
**WAF [#d712a06a]
-「[[WAF]]」参照
**パーソナルファイアウォール [#m3f1e11f]
-個人が使用するPC上で動作するソフトウェア
-アクセス制御、不審な動作を検知する
*フィルタリングの方式 [#f3fafe02]
**パケットフィルタ型&br; (スタティックパケットフィルタ型) [#kf0e06b3]
-フィルタリング方法
--[[パケット]]のヘッダ情報などで中継の可否を判断する
---IPアドレス(発信元、送信先)
---ポート番号(発信元、送信先)
---プロトコルの種別(TCP,UDPなど)
---パケットの方向(外向き、内向き)
-クライアントとサーバ間のコネクション
--ファイアウォール自体はコネクションを確立しない(クライアントとサーバが直接コネクションを確立する)
**アプリケーションゲートウェイ型&br; (アプリケーションプロキシ型) [#o2777ef4]
-フィルタリング方法
--パケットフィルタ型が判断で使う情報に加えて、ペイロードに含まれる情報(アプリケーション層の情報)で中継の可否を判断する
--アプリケーション層のプログラム(HTTP,SMTPなど)ごとに別々の中継専用プログラム([[プロキシ]])を持つ
-クライアントとサーバ間のコネクション
--クライアントはファイアウォールとコネクションを確立して通信を行う。
--サーバとの接続は、ファイアウォールがクライアントの代わりにコネクションを確立して通信を行う。
**サーキットレベルゲートウェイ型&br; (サーキットレベルプロキシ型) [#la3c2229]
-フィルタリング方法
--パケットフィルタ型が判断で使う情報(ペイロードに含まれる情報は含まない)で中継の可否を判断する
-クライアントとサーバ間のコネクション
--クライアントはファイアウォールとコネクションを確立して通信を行う。
--サーバとの接続は、ファイアウォールはトランスポート層でコネクションを確立する(クライアントとサーバを結ぶ仮想的な通信経路(バーチャルサーキット)を確立する)。
**ダイナミックパケットフィルタ型 [#m0a6bc62]
-フィルタリング方法
--静的な[[ACL]]を使うスタティックパケットフィルタ型に対して、動的に生成する[[ACL]]を使ってフィルタリングを行う方式
--[[ACL]]にはコネクションを確立する方向のみを登録する。
--実際の接続要求が発生すると、各通信をセッション管理テーブルに登録して必要なACLが動的に生成される。セッションが終了すると生成したルールは破棄される。
-クライアントとサーバ間のコネクション
--ファイアウォール自体はコネクションを確立しない(クライアントとサーバが直接コネクションを確立する)
**ステートフルインスペクション型 [#vd11287b]
-[[SPI(Stateful Packet Inspection)]]
-Check Point社が開発したファイアウォールのアーキテクチャ。
-基本的な仕組みはダイナミックパケットフィルタ型と同じ。
-アプリケーションごとの通信フローなどの情報に基づきフィルタリングを行う。
*ファイアウォールのツール [#ybb9b0cd]
**RHEL系 [#c419f675]
-ipchains
-iptables
-ip6tables
-[[firewalld]]
*コマンド [#bbd0a402]
-iptables ※CentOS6以前
-firewall-cmd ※CentOS7以降
--「[[firewalld]]」参照
-[[ufw]] ※Debian
*フィルタリングルール(よく使われる設定) [#lb7d9353]
**遮断(破棄) [#c2a826c4]
-プライベートアドレス(IPアドレス)
--外部からの接続:接続元がプライベートアドレス
--外部への接続:接続先がプライベートアドレス
-ポート番号(インターネットに公開しない)
--23:[[Telnet]]
--69:[[TFTP]]
--111:SUN RPC
--135:(Windows)RPC
--137~139:(Windows)NetBIOS関連
--161,162:[[SNMP]]
--445:(Windows)SMB(Server Message Block)
--512,513:UNIX リモートアクセス
--514:rsh(TCP), syslog(UDP)
--1433,1434:(Microsoft)SQL Server/SQL Monitor
--2049:SUN NFS
*製品 [#ic4f0a70]
-Palo Alto Networks
-Cisco
-Fortinet
-Juniper
*関連サイト [#h88bbc2e]
-フィルタリングで遮断すべきポート番号 - @network Cisco・アライド実機で学ぶ~
http://atnetwork.info/tcpip2/tcpip303.html
*関連用語 [#id442ee5]
-[[ACL]]
-[[ALGプロトコル]]
-[[DMZ]]
-[[HA]]
-[[NAT]]
-[[IPS]]
-[[IDS]]
-[[UTM]]
-[[セキュリティ]]
-[[ルータ]]
-[[ネットワーク機器]]
-[[不正アクセス]]
-[[フィルタリング]]
-[[サンドボックス]]
編集
添付
差分
バックアップ