3.2 ファイアウォール

データ参照：CISP公式 

目次

• ファイアウォールの基本概念
• ファイアウォールの代表的な技術
• ファイアウォールのエンタープライズ展開
• ファイアウォールの制限事項

1. ファイアウォールの基本概念

ファイアウォールの基本概念:

        ファイアウォール (Firewall) という言葉は、火災が発生した場合に延焼を防ぐために建物の間にある低い壁の初期ヨーロッパの建築に由来しています。コンピュータ ネットワークでは、ファイアウォールはデータ パケットを遮蔽してシールドすることにより、内部または外部のコンピュータ ネットワークへの不正なアクセスを防ぎます。

ファイアウォールの定義:

        ファイアウォールは、信頼できるネットワークと信頼できないネットワークの間に位置し、2 つのネットワーク間を流れるデータ パケットを検査およびフィルタリングする 1 つ以上のコンピュータまたはルーターとして定義できます。

ファイアウォールの機能と特徴:

1. パケット フィルタリング: ファイアウォールは、送信元 IP アドレス、宛先 IP アドレス、ポート番号などの情報に基づいてネットワークに出入りするデータ パケットをフィルタリングし、ルールを満たすデータのみの通過を許可します。
2. ネットワーク アドレス変換(NAT): ファイアウォールはネットワーク アドレス変換機能を実現し、内部プライベート ネットワークの IP アドレスをパブリック ネットワーク IP アドレスに変換して、ネットワーク セキュリティとプライバシー保護を強化します。
3. 認証とアクセス制御: ファイアウォールはユーザーに認証を要求し、ユーザーのアクセス許可に基づいてネットワーク リソースへのアクセスを制御することができます。
4. 仮想プライベート ネットワーク (VPN) のサポート: ファイアウォールは安全なリモート アクセスを実現し、暗号化された VPN 接続の確立をサポートし、リモート ユーザーと内部ネットワーク間の通信セキュリティを確保します。
5. ログの記録とアラーム: ファイアウォールは、ネットワーク トラフィックやセキュリティ イベントなどの情報を記録し、タイムリーなアラームやログを生成できるため、管理者がネットワーク セキュリティ状態を監視および分析するのに便利です。
6. 単純なファイアウォールをインストールすると、ほとんどの外部検出と攻撃を防御し、基本的なセキュリティ保護を提供できます。

ファイアウォールの適用範囲:

        ファイアウォール製品は、ネットワーク セキュリティに広く使用されており、企業ネットワークからホーム ネットワークの保護、さらにはパーソナル コンピュータのセキュリティ保護に至るまで、積極的な役割を果たしています。現在、市場で最も応用範囲が広く、顧客に最も受け入れられやすいネットワーク セキュリティ製品の 1 つです。

ファイアウォールは次の場所に展開できます。

1. 信頼できるネットワークと信頼できないネットワークの間:ファイアウォールは、信頼できるネットワークと信頼できないネットワークの間に配置され、信頼できるネットワークに出入りするデータ トラフィックを監視および制御します。事前に設定されたルールに従ってデータ パケットを選別およびフィルタリングし、信頼されたネットワークへの不正なアクセスや攻撃を防ぎます。

2. 異なるセキュリティ レベルのネットワーク間: ファイアウォールを使用して、異なるセキュリティ レベルのネットワークを分離できます。たとえば、企業の内部ネットワークを複数のエリアに分割し、それぞれに異なるセキュリティ レベルとアクセス権を持たせることができます。これらのネットワーク間には、異なるセキュリティ レベルのファイアウォールを配置して、異なるエリア間のデータ フローを制御し、不正アクセスや情報漏洩を防ぐことができます。

3. 分離する必要がある 2 つのエリア間: ファイアウォールを使用して、オフィス エリアと生産エリアなど、独立して保護する必要がある 2 つのエリアを分離できます。これら 2 つのエリアの間にファイアウォールを配置することで、データの転送を制限し、許可されたトラフィックのみが通過するようにすることができます。

つまり、ファイアウォールの展開場所は、ネットワーク セキュリティ要件と分離の目的によって異なります。これを使用すると、信頼できるネットワークを信頼できないネットワークからの攻撃から保護し、異なるセキュリティ レベルのネットワークを分離し、独立して保護する必要がある 2 つの領域間のデータ フローを制限できます。

 

ファイアウォールの基本機能は、次の側面に要約できます。

1. コントロール: ファイアウォールは、さまざまなセキュリティ ドメインのネットワーク接続ポイントにセキュリティ コントロール ポイントを確立し、送受信データを制限およびフィルタリングできます。ルールとポリシーを定義することにより、ファイアウォールはどのパケットの通過を許可し、どのパケットをブロックまたは制限するかを制御します。

2. 分離: ファイアウォールは、保護する必要があるネットワークを信頼できないネットワークから分離し、不正なアクセスや攻撃者が保護されたネットワークに侵入するのを防ぎます。ファイアウォールの設定を通じて、内部ネットワークの特定のトポロジと情報を非表示にして、追加のセキュリティ保護を提供できます。

3. 記録: ファイアウォールは送受信データをチェックし、関連情報を記録します。このような情報には、送信元 IP アドレス、宛先 IP アドレス、ポート番号などが含まれる場合があります。ネットワーク トラフィックを記録することで、管理者は異常なアクティビティ、セキュリティ インシデント、または潜在的な脅威を適時に発見し、セキュリティ問題に対処するための対応策を講じることができます。

ファイアウォール テクノロジーの原理には次の側面が含まれます。

1. 通過しなければならないポイントを定義する: ファイアウォールは、ネットワーク内のキー ノードとして、ネットワーク トラフィックの制御と管理を実現するために、内部ネットワークに出入りするときに通過する必要があります。

2. 不正なアクセス トラフィックをブロックする: ファイアウォールは、ネットワーク データ パケットの送信元アドレス、宛先アドレス、ポート、その他の情報をチェックしてフィルタリングし、不正なアクセス トラフィックが内部ネットワークに入るのを防ぎ、ネットワーク セキュリティを保護します。

3. 脆弱なサービスによる被害の防止: ファイアウォールは、セキュリティの脆弱性のあるサービスやプロトコルへのアクセスを制限し、ネットワークに損害を与える可能性のある攻撃を防止し、ネットワーク セキュリティを向上させることができます。

4. スプーフィング攻撃やルーティング攻撃を回避するための保護を実装する: ファイアウォールは、ステートフル インスペクションやネットワーク アドレス変換 (NAT) などのさまざまなテクノロジーを使用して、スプーフィング攻撃やルーティング攻撃を検出して防止し、ネットワーク通信の信頼性と整合性を確保します。

ファイアウォールには、パケットの処理方法を決定するさまざまなポリシーもあります。

• Accept : ルールとポリシーに一致するパケットがファイアウォールを通過し、宛先アドレスに配信されることを許可します。

• 拒否: ルールとポリシーを満たさないデータ パケットのファイアウォール通過を拒否し、拒否されたことを通知する通知メッセージを送信者に送信します。

• Discard : ルールやポリシーを満たさないデータ パケットを、送信者に通知せずに直接破棄します。

上記の原則と戦略は、ファイアウォールがネットワーク トラフィックを効果的に制御し、不正アクセス、潜在的な攻撃、その他のセキュリティ脅威からネットワークを保護するのに役立ちます。 

2. ファイアウォールの代表的な技術

1. 静的パケットフィルタリングファイアウォール

実装メカニズム

• 静的パケット フィルタリング ファイアウォールの実装メカニズムは、ネットワーク層アドレス (送信元アドレス、宛先アドレス)、トランスポート層アドレス (送信元ポート、宛先ポート) およびプロトコルを含むデータ パケットの基本マークに基づいてデータ パケットを制御することです。タイプやその他の情報。

利点は次のとおりです。

• 技術的なロジックはシンプルで実装が簡単です。
• 高速処理。
• フィルタリング ルールはアプリケーション層とは関係がないため、ホスト上のアプリケーションを変更する必要はありません。

弱点には次のようなものがあります。

• アプリケーション層の情報をフィルタリングして処理することは不可能であり、アプリケーション層プロトコルの内容を詳細に検査して処理することも不可能です。
• 多くのネットワーク サービスと複雑な構造を備えたネットワークの場合、パケット フィルタリング ルールのセットは複雑になり、構成が困難になります。
• アドレススプーフィング攻撃を防ぐことはできません。
• 外部クライアントと内部ホスト間の直接接続を完全にブロックすることはできません。
• 安全性が低くなります。
• ユーザー認証機能はありません。

2. アプリケーション プロキシ ファイアウォール

実装メカニズム:

• ネットワーク間の接続はファイアウォールを介して転送される必要があり、セッション内の 2 者が直接通信することはできませんが、外部ネットワーク データはプロキシとしてファイアウォールを介して内部ネットワーク ホスト デバイスに転送されます。

利点は次のとおりです。

• NAT機能を搭載しており、内部および外部ネットワークホストの直接接続を回避し、ネットワークのセキュリティを強化します。
• 内部ネットワーク構造を隠蔽できるため、攻撃者が内部ネットワークに関する特定の情報を取得することが困難になります。
• 内部アドレス管理の柔軟性が向上し、必要に応じてアドレス変換とマッピングを実行できます。
• ネットワーク トラフィックを制御する機能が強化され、ログを詳細に記録および分析できるため、悪意のあるアクティビティの検出と防御に役立ちます。
• ネットワーク内のデータ送信のセキュリティを保護するための透過的な暗号化メカニズムをユーザーに提供できます。
• 幅広いアプリケーションがあり、複数のアプリケーションとプロトコルをサポートできます。

短所:

• すべてのデータ パケットを転送する必要があるため、システム パフォーマンスが大量に消費され、処理効率が比較的低くなります。
• サービスごとに対応するエージェント プログラムを作成する必要があるため、ファイアウォール デバイスの柔軟性が制限されます。
• アプリケーション層の詳細な分析と処理が必要なため、一部の特定のアプリケーションは完全にはサポートされていない場合があります。

3. ステートフル インスペクション ファイアウォール

ステートフル インスペクション ファイアウォールは、動的パケット フィルタリング ファイアウォールとも呼ばれ、接続の状態を維持するための状態テーブルを作成することによって実装されます。状態テーブルは、ネットワーク接続に関する情報を追跡および管理し、パケットがファイアウォールを通過できるかどうかを判断するために使用されます。

ステートフル検査ファイアウォールには次の利点があります。

• 高いセキュリティ: 状態検査ファイアウォールが通信やアプリケーションの状態に応じてデータパケットの通過を許可するかどうかを決定するため、より高いセキュリティを提供します。単一のパケットのルールを考慮するだけでなく、通信セッション全体の状態を組み合わせて判断します。
• 詳細なログ: 状態検査ファイアウォールは、送信元アドレス、宛先アドレス、ポートなどを含む各パケットの詳細情報を記録でき、セキュリティ監査やトラブルシューティングに役立ちます。
• 透過性: ユーザーおよびアプリケーションにとって、状態検査ファイアウォールは透過的であり、ユーザーまたはアプリケーションによる変更や構成を必要とせず、ネットワークにシームレスに統合できます。
• 適応性の向上: 状態検査ファイアウォールは、実際のネットワーク接続要件に応じて動的に調整して、さまざまな通信モードやアプリケーションに適応できます。

短所:

• パケットフィルタリング技術に比べて検出内容が多く、通信状態の維持・追跡が必要なため、システム性能に対する要求が高くなります。
• 構成は比較的複雑です。状態検査ファイアウォールは状態テーブルの維持、接続情報の管理などを行う必要があり、ユーザーと管理者の技術レベルに応じた一定の要件があります。

3. ファイアウォールのエンタープライズ展開

ファイアウォールの企業展開では通常、専用のネットワーク セキュリティ デバイスであるエンタープライズ レベルのファイアウォールが採用され、通常はソフトウェアとハ​​ードウェアが統合されたデバイスです。エンタープライズ レベルのファイアウォールには複数のネットワーク インターフェイスがあり、複数の異なるネットワークに接続でき、ポリシーに従ってネットワーク間の通信データをフィルタリングして記録できます。

実際の企業環境では、企業のセキュリティ要件と実際の状況に応じてファイアウォールの導入方法を検討する必要があります。

DMZ (非武装地帯) は、信頼できない外部ネットワークと信頼できる内部ネットワークの間に位置するネットワーク エリアです。これは、Web サーバーやメール サーバーなどの外部ネットワークにサービスを提供するサーバー ホストを収容するために使用される物理サブネットまたは論理サブネットです。

ファイアウォールの導入方法には次のようなものがあります。

1. 単一ファイアウォール (DMZ なし) 展開方法: この方法では、企業は 1 つのファイアウォールのみを使用して内部ネットワークと外部ネットワーク間の通信を保護します。すべてのサーバー ホストは内部ネットワークに直接接続されており、ファイアウォールは送受信データ パケットのフィルタリングと制御を担当します。

2. シングル ファイアウォール (DMZ) 導入モード: このモードでは、ファイアウォールと内部ネットワークおよび外部ネットワークの間に DMZ サブネットが確立されます。外部ネットワークは DMZ サブネット上のサーバーにアクセスできますが、内部ネットワーク上のホストは DMZ サブネットに直接アクセスできません。これにより、内部ネットワークのセキュリティが強化されます。

3. デュアル ファイアウォール展開モード: このモードでは、内部ネットワークと外部ネットワークの間に 2 つのファイアウォールが配置され、それぞれフロントエンド ファイアウォールとバックエンド ファイアウォールと呼ばれます。フロントエンド ファイアウォールは、外部ネットワークと DMZ サブネットを接続し、外部ネットワークからのデータ パケットのフィルタリングと制御に使用されます。バックエンド ファイアウォールは、DMZ サブネットと内部ネットワークを接続し、DMZ サブネットからのデータ パケットのフィルタリングと制御に使用されます。この展開方法では、より高いセキュリティが提供され、外部ネットワークが内部ネットワークから分離されます。

各展開方法には、適用可能なシナリオとセキュリティ要件があります。企業は、実際の状況とセキュリティ要件に応じて、ネットワーク セキュリティを保護するための適切な導入方法を選択する必要があります。

単一ファイアウォール システム (DMZ なし)

単一ファイアウォール システム (DMZ なし) は、最も基本的なファイアウォール展開方法です。これは、サービスを外部に公開しない企業に適しており、主に内部ネットワークの基本的な保護を提供します。

単一ファイアウォール システムのいくつかの特徴と機能を次に示します。

1. 外部ホストから内部の保護されたリソースへの接続をブロックする: ファイアウォールは、外部ネットワークからの無許可の接続要求をフィルタリングしてブロックすることにより、内部ネットワーク上の保護されたリソースを無許可のアクセスから保護します。

2. 内部ネットワークに対する外部ネットワークの脅威を防ぐ: ファイアウォールは、潜在的に悪意のあるトラフィック、侵入の試み、その他のセキュリティ上の脅威を検出してブロックし、外部ネットワークの攻撃から内部ネットワークを保護します。

3. 内部ホストから外部リソースへのトラフィックをフィルタリングおよび制限する: ファイアウォールは、内部ホストからのトラフィックを検査およびフィルタリングして、外部リソースへのアクセスを制限できます。これは、内部ホストによるリスクの高い外部ネットワーク リソースへの不正アクセスを防ぐのに役立ちます。

単一のファイアウォール システムは、シンプルだが効果的なネットワーク セキュリティ対策であり、ホーム ネットワーク、小規模オフィス ネットワーク、リモート オフィス ネットワークなどの環境に適しており、基本的なネットワーク セキュリティ保護を提供できます。ただし、外部サービスを提供する必要がある企業の場合は、内部ネットワークと外部ネットワークをより適切に分離して保護するために、DMZ を使用したファイアウォール展開方法を使用することをお勧めします。

 

単一ファイアウォール (DMZ) 導入モード 

単一ファイアウォール (DMZ)展開方法は、ファイアウォール内で 1 つ以上の非武装地帯 (DMZ) を分割することにより、より高いレベルのネットワーク セキュリティ保護を提供します。

単一ファイアウォール (DMZ) 導入の仕組みに関する重要なポイントをいくつか示します。

1. DMZ への外部解放サーバーの展開: セキュリティを強化するために、企業は外部解放サーバー (Web サーバー、メール サーバーなど) を DMZ エリアに展開できます。つまり、DMZ 内のサーバーが攻撃者によって制御されている場合でも、ファイアウォール ポリシーの制限により、攻撃者は DMZ 内のサーバーを介して内部ネットワーク内のコンピューターを攻撃することはできません。

2. DMZ 数の設定：設定できる DMZ の数は、使用および拡張するファイアウォール製品がサポートする DMZ ポートの数によって異なります。企業は、ニーズとセキュリティ要件に応じて、ファイアウォール内の 1 つ以上の DMZ エリアを分割できます。

3. すべてのトラフィックは 1 つのファイアウォールを通過する必要があります(そのため、ファイアウォールのパフォーマンス要件は比較的高くなります)。DMZ エリアにアクセスする外部ネットワークからのトラフィックと、DMZ エリアから内部ネットワークにアクセスするトラフィックの両方が 1 つのファイアウォールを通過する必要があります。ファイアウォールは、事前に設定されたルールに従ってトラフィックをチェックおよび制御し、許可されたトラフィックのみが通過できるようにします。

単一ファイアウォール (DMZ) 展開の場合、企業はビジネス ニーズとセキュリティ要件に従ってファイアウォール ルールを設定および構成する必要があります。同時に、ファイアウォールのパフォーマンスがトラフィックの処理要件を満たしていることを確認することも重要な考慮事項です。これらを考慮することで、より安全で信頼性の高いネットワーク環境を構築することができます。

デュアル ファイアウォール (複数のファイアウォール) 導入モード

        デュアル ファイアウォール (マルチ ファイアウォール)導入方法では、異なるセキュリティ レベルのネットワーク間に 2 つ以上のファイアウォールを導入し、異なるセキュリティ ゾーン間のトラフィックに対してよりきめ細かい制御機能を提供します。

デュアル ファイアウォールを展開する方法に関する重要なポイントをいくつか示します。

1. 外部ファイアウォールと内部ファイアウォール: デュアル ファイアウォール展開では、2 つのファイアウォールを使用し、1 つは外部ファイアウォールとして、もう 1 つは内部ファイアウォールとして使用します。それらの間には、DMZ としても知られる非武装地帯セグメントが形成されます。各ファイアウォールは独立した制御ポイントであり、異なるセキュリティ ゾーン間のトラフィックを独立して制御します。

2. よりきめ細かい制御を提供します: デュアル ファイアウォール展開は、単一ファイアウォール展開よりも高いレベルのセキュリティを提供できます。2 つの独立したファイアウォールを通じて、よりきめ細かいトラフィック制御と監査を実現できます。たとえば、外部ファイアウォールは外部ネットワークから DMZ に入るトラフィックをフィルタリングおよび認証でき、内部ファイアウォールは DMZ からの潜在的な脅威から内部ネットワークをさらに保護できます。

3. 複雑さとコスト: デュアル ファイアウォールの導入は単一のファイアウォールの導入よりも複雑で、2 つの別々のファイアウォール デバイスの構成と管理が必要です。さらに、複数のファイアウォール アプライアンスが関係するため、展開とメンテナンスのコストが高くなる可能性があります。

4. 異種セキュリティ: 異なるベンダーのファイアウォール製品を選択すると、異種セキュリティを提供できます。さまざまなベンダーのファイアウォール製品を使用すると、ベンダー固有のファイアウォールの脆弱性のリスクが軽減され、より高いレベルのセキュリティが提供されます。

全体として、デュアル ファイアウォール展開方法は、ネットワーク セキュリティの観点から、より厳密で信頼性の高いシステム構造を提供します。ただし、このアプローチを導入するには、複雑さ、コスト、リソース管理のトレードオフが必要です。

4 番目に、ファイアウォールの制限

ファイアウォールはネットワーク セキュリティで最も一般的に使用されるデバイスの 1 つですが、ネットワーク セキュリティの問題のほんの一部しか解決できません。同時に、ファイアウォールには次の制限と欠点があります。

1. 管理や設定が難しく、セキュリティの抜け穴が発生しやすい：ファイアウォールの管理や設定には専門的な知識と経験が必要であり、設定が間違っていたり、最新のセキュリティ脅威に対する理解が不足していたり​​すると、セキュリティの抜け穴が発生してしまいます。

2. 悪意のある内部関係者を防ぐことはできません。従来のファイアウォールは主に外部ネットワークからの攻撃に焦点を当てており、内部ネットワークへの脅威は比較的限定的であり、悪意のある内部ユーザーや内部アクセス権を持つ担当者がファイアウォールをバイパスして攻撃する可能性があります。

3. 粗粒度のアクセス制御では一貫したセキュリティ ポリシーを提供するのが難しい: ファイアウォールのアクセス制御は通常、IP アドレスやポート番号などの単純な情報に基づいており、複雑なユーザー ニーズを満たすことができず、内部および内部で一貫したセキュリティ ポリシーを提供することは困難です。ファイアウォールの外側。

4. ウイルスや特定のネットワーク攻撃から完全に保護できない: 従来のファイアウォールは主にデータ パケット フィルタリングによるセキュリティ保護を提供しており、ウイルス、マルウェア、およびゼロデイ エクスプロイトなどの一部の高度なネットワーク攻撃に完全に対処することは困難です。

したがって、包括的なネットワーク セキュリティ戦略を確立するには、複数のセキュリティ対策とデバイスの包括的な適用を考慮する必要があり、ファイアウォールだけに依存することはできません。その他のセキュリティ対策には、ネットワーク全体のセキュリティを強化するための侵入検知システム、ウイルス対策ソフトウェアなどが含まれます。