テクノロジー解説

ファイアウォール

 企業ネットワークのセキュリティ対策としてもっとも一般的に使われている手法に「ファイアウォール」があります。ファイアウォールは、信頼できないネットワーク(インターネット)を経由して社内ネットワークに侵入しようとするハッカー、ウイルス、ワームといった脅威を排除するのに役立つソフトウェアまたはハードウェアです。
 今回のテクノロジー解説では、ネットワーク境界に設置するファイアウォールを中心に、その種類と動作を見ながら、ファイアウォールがどのように社内ネットワークを守ってくれるのかを見ることにします。


 インターネットの始まりは技術者のためのネットワークでした。ところが今では、メールでの連絡のほか、買い物、株取引、旅行の予約、ゲームなど、多くの人の生活の一部となっています。仕事上でもインターネットを利用しない日はありません。営業活動、客先への連絡はもちろん、受発注やオーダーステータスなどのビジネス活動にもインターネットは欠かせない要素です。しかしインターネットには特定の管理者がいるわけではなく、多くの人が自由に利用できる空間であり、そのなかには悪意を持った人や、いたずら心で企業のネットワークに入り込もうとする人間もいます。

 企業の社内ネットワークを最も安全に保つ方法は、管理者がしっかり管理しているネットワークにのみ相互接続を許可することです。インターネットのように管理者のいない相互接続には、多くの危険が伴います。


 インターネットがビジネスに欠かせない存在となっている今、企業は万全のセキュリティ対策によって社内ネットワークを守ろうとしています。その手法の1つであり、もっとも古くから使用されているのが「ファイアウォール」です。

ファイアウォールの役割
 ファイアウォールをそのまま日本語にすると「防火壁」。火事になったとき、防火壁を閉めることで、防火壁の反対側にまで火事になるのを防ぎます。インターネット側を「火事」と呼ぶのがふさわしいかどうかは意見が分かれるところでしょうが、ファイアウォールの外側に起こっている災害が、内側にまで入り込むことを防ぐという意味では防火壁と同じと言えるでしょう。
 ファイアウォールの最も大きな役割は、セキュリティ ポリシーに準じた制御を行うことです。たとえば、社内ネットワークのなかには、メールサーバや、会社情報を提供したり商取引するための Web サーバがあり、これらのサーバには外部からのアクセスが必要になります。しかし、社内文書が格納されているファイル サーバには、外部からのアクセスを許すわけにはいきません。

 このような場合、「公開 Web サーバにはインターネットからのアクセスを許すが、ファイル サーバには社内からのアクセスのみを許す」というセキュリティ ポリシーが定義できます。それをファイアウォールに実装すれば、インターネット上のユーザがWebサーバにアクセスしようとすればファイアウォールの扉が開き、ファイルサーバにアクセスしようとしたときには拒否されるということになります。
 ファイアウォールの設置について、もう1つ例を見てみましょう。先ほどの例で、ファイアウォールでは、インターネットからWebサーバへのアクセスを許可し、ファイル サーバへのアクセスを拒否しました。条件付きとはいえ、社内のサーバにアクセスを許すというのは、かなり危険なことだと言えます。
 そこで多くの企業では、外部からのアクセスを許可するサーバ群を1つのネットワークのなかにまとめ、それ以外のネットワークには外部からのすべてのアクセスを拒否するように、もう1つのファイアウォールを設置します。

 外部からアクセス可能なサーバ群を接続しているネットワークはDMZ(非武装地帯)と呼ばれ、管理者も攻撃対象となる可能性が高いと認識しています。一方、DMZからさらに内側を守るファイアウォールには、外部からのアクセスを受け付けないというセキュリティ ポリシーが実装されます。このようにファイアウォールは、セキュリティ ポリシーが変わる境目に設置されるものと考えることができます。

ファイアウォールの仕事
 ファイアウォールの仕事は、「通過しようとするパケットを検査し、通過を許可されているパケットは通し、それ以外は通過を拒否する」ということです。つまり、「パケットのフィルタリング」です。通過を許可するパケットをどのように決定するかには、いくつかの方法があり、これらファイアウォールの機能の特長となります。

静的フィルタリング
 一番簡単なフィルタリングでは、あらかじめ、定義されたフィルタリング ルールにしたがって、パケットの通過を許可するか拒否するかを決定します。この手法では、パケットが流れる方向(インバウンドまたはアウトバウンド)に対して、IPパケットのヘッダにある「宛先アドレス」「送信元アドレス」「プロトコルの種類」「宛先ポート番号」「送信元ポート番号」を条件にして、フィルタを定義します。
 たとえば、特定のWebサーバ(198.133.219.25)へのアクセスのみを許可するのであれば、次の2つを定義します。

宛先が198.133.219.25で、TCPプロトコルを使用し、ポート80(Webアクセスのためのポート番号)であれば、外部のどこから送信されたパケットであっても通過を許可する
上の定義以外のパケットは通過を拒否する

 管理者は、なんらかのネットワーク攻撃を受けたとき、その攻撃元となっているIPアドレスからの通信をすべて拒否するルールを加えることができます。これで、同じ攻撃元からの攻撃を回避することができます。

●動的フィルタリング
 静的フィルタリングの場合、社内から発信する通信を細かく制御することができません。たとえば、社内からインターネットに出て行くパケットについては、すべて許可されるようにファイアウォールを設定しているとします。このとき、社内からインターネット上にあるWebサーバにアクセスすると、その応答パケットは社内のアドレス宛てとなります。したがって、フィルタリング ルールには、「送信元のポート番号が80(Webアクセスのためのポート番号)であれば、任意の送信元から社内宛てパケットの通過を許可する」という定義を加える必要があるのです。プロトコルが限定されているなら、該当するプロトコル分の定義を追加すればよいのですが、プロトコルに制限がない場合にはあらゆるパケットを許すことにもなりかねません。
 そこで、社内から発生する通信については、その応答となるパケットを許可するように一時的にフィルタリング ルールを追加し、その通信が終了したらフィルタリング ルールも消去するという動的フィルタリングが、多くのファイアウォールに実装されています。
●ステートフル インスペクション
 ここまで説明した静的フィルタリングおよび動的フィルタリングには、いくつかの問題があります。その1つは、Webアクセスに似せた攻撃は防げないこと。さらに、どんなに通信を拒否するルールを加えたとしても、アドレスを偽装した攻撃は防げず、フィルタリング ルールが複雑になってしまったり、アクセスを必要とするところからの通信さえも拒否してしまう可能性があることです。また、動的フィルタリングにしても、社内から発生する通信にしか対応していません。真のファイアウォールには、IPパケットの内容まで含めて検査し、通過を許可するかどうかを決定する仕組みが必要です。その1つに「ステートフル インスペクション」があります。

 ステートフル インスペクションとは、「通信状態の調査」という意味です。IPパケットには、その上位プロトコルにデータを渡すための情報が含まれています。その情報をファイアウォールが確認し、通信状態を把握し、次にどのようなパケットが来るかを予測することで、不正なパケットを拒否しようというものです。
 ステートフル インスペクションでも、パケットの内容までは精査しないため、そのデータのなかにウイルスやワームが隠れていたとしても、ファイアウォールを通してしまう可能性が高くなります。そのため、ファイアウォールだけでなく、IPS(侵入防御システム)や検疫ネットワークといったセキュリティ対策を加え、さらにセキュリティを強化する必要があります。

シスコのファイアウォール製品
Cisco IOS Firewall
 ルータのオペレーティングシステムである Cisco IOS に統合されたファイアウォール機能。Cisco IOSの機能の 1 つとしてソフトウェアで提供されるファイアウォールで、多層防御の一部としてネットワーク境界におけるセキュリティ機能を提供します。このソリューションは、特に専任の管理者のいない大規模企業のブランチオフィスや中堅・中小企業のネットワークでは、シスコ サービス統合型ルータの分かりやすい管理ツールを使ってファイアウォールの設定ができるので、初期投資と運用コストの両面でコスト効果の高いソリューションとなります。
Cisco IOS Firewall
Cisco IOS Firewallについて詳しくは >
http://www.cisco.com/jp/product/hs/security/iosfeature/

Cisco ASA 5500 適応型セキュリティ アプライアンス
 統合セキュリティ アプライアンスである Cisco ASA 5500 シリーズは、新世代のセキュリティ サービスを提供するモジュラ型プラットフォームです。ファイアウォールの機能はもちろん、IPSec VPN や SSL VPN をサポートし、セキュリティ専用モジュールを追加することで、IPS(侵入防御システム)や Anti-X といった高度なセキュリティ機能を統合することもできます。また、利用シーンやニーズに合わせて選択できるパッケージが用意されており、必要であればさらに機能やサービスを追加できます
Cisco ASA 5500 適応型セキュリティ アプライアンス
Cisco ASA 5500 シリーズについて詳しくは >
http://www.cisco.com/jp/product/hs/security/pix/

Cisco Catalyst 6500シリーズ ファイアウォール サービスモジュール
 ファイアウォールが必要になるのは、インターネットとの接続部分のみとは限りません。社内ネットワークのなかであっても、特定の部署のネットワークに特別なセキュリティ ポリシーを適用するとすれば、その LAN の入口にはファイアウォールが必要になります。
 企業ネットワークの LAN は、物理的に分割されている場合もありますが、多くの場合は VLAN で区切られています。VLAN 間にファイアウォール機能をスイッチに統合するため、シスコは Cisco Catalyst 6500 シリーズにファイアウォール サービス モジュール(FWSM)を用意しています。Cisco Catalyst 6500 シリーズ スイッチに FWSM を搭載すると、そのスイッチ上の任意のポートが、ファイアウォール ポートとして動作できるようになります。

Cisco Catalyst 6500シリーズ ファイアウォール サービスモジュール
ファイアウォール サービスモジュールについて詳しくは >
http://www.cisco.com/jp/product/hs/switches/cat6500/modules/service/fwsm/

Cisco PIXセキュリティ アプライアンス
 多くの実績を持つ Cisco PIX セキュリティ アプライアンスは、エンタープライズ クラスのネットワーク セキュリティ統合サービスを実現します。Cisco PIX セキュリティ アプライアンスでは、ステートフル インスペクションのほか、プロトコルおよびアプリケーションの検査によるファイアウォール機能をサポートし、インライン侵入保護、マルチメディアおよび音声に関するセキュリティ機能も提供します。
Cisco PIXセキュリティ アプライアンス
Cisco PIX セキュリティ アプライアンスについて詳しくは >
http://www.cisco.com/jp/product/hs/security/pix/


シスコのセキュリティ製品についてはこちら
http://www.cisco.com/jp/go/security/



お問い合わせ