Firewallとは
通信の内容を解析し意図しない通信や外部からの攻撃を防ぐ機器・ツールの総称
FWには大きく2つあり、ネットワーク機器とPCやSVに導入するセキュリティソフト等のツールがある。
従来のFWとNGFWの違い
従来のFWのようにIP, ポート番号等で通信のチェックしていたのに対し、
NGFW(NextGeneration Firewall)ではHTTP等のアプリケーションレベルで通信の内容を解析して通信の可否をチェックすることが出来る。
ゾーン(Zone)について
Zoneの種類
境界防御のファイアウォールの考え方として、Zoneというものがある。
Zoneは次の3つ分類される。[Trust], [UnTrust], [DMZ]
Trust
内部の安全なLAN。
外部の攻撃者から守るべきPCやサーバを配置する為のネットワーク。
UnTrust
インターネットの様な外部の安全性が確保できないネットワーク。
DMZ (DeMilitarized Zone)
内部のネットワークではあるが、インターネット等の外部からアクセス可能なネットワーク
公開Webサーバ等、外部からアクセスさせる必要なSV等を配置する。
ZoneベースとI/Fベースについて
ルータで使用することが多いI/Fベースのフィルタでは、機器にあるI/Fごとにポリシーを設定し通信の可否を定義する。
それに対しファイアウォールに多いZoneベースでは、I/Fごとに所属するZoneを定義し、Zoneに対してのポリシーを定義して可否を定義する。
Zoneベースであれば、セグメントが多い場合でもI/Fごとのポリシーが不要になる設定の冗長性を改善できる。
ステートフルインスペクション (動的フィルタリング)
通常の静的フィルタでは通信の生き帰り(request / response)をそれぞれ許可する必要がある
(例: 行き-web閲覧リクエスト, 帰り-webサイトデータ)
ステートフルインスペクション機能があれば、行き(request)の許可を行えば、帰り(response)は自動で許可される。
その為、わざわざ帰りの許可を行う必要がなくなる。
暗黙のDeny
多くの機器のフィルタリング機能では許可/拒否を行うルールにチェック順の番号が割り振られる。
その番号の昇順にルールをチェックが行われ通信の許可/拒否の判断がされる。
チェック順の一番最後に[すべての通信を拒否]する[暗黙のDeny]と呼ばれる変更不可なルールが設定されている。