見出し画像

ファイアウォールで守る

盗聴や情報の漏洩の防止のために、通過を判断する機能をつけたり、暗号化したりします。

ファイアウォール(firewall)は、元々は火災などから建物を防御するための防火壁のことをいいます。火災のときに被害を最小限に食い止める防火壁のような役割を果たすことから、インターネットと企業内LANの間に設置され、事前に決められたルールのもとで通してよい情報かを判断し、不正アクセスやサイバー攻撃を防ぐソフトやハードをファイアウォールとよぶようになりました。

現在のファイアウォールには、大きく分けて2種類あります。ひとつは家庭などで利用する、単体のコンピュータを防御することを目的としたパーソナルファイアウォールで、もうひとつは、企業や家庭のネットワーク全体を防御するファイアウォールです。

パーソナルファイアウォール

パーソナルファイアウォールは、クライアントのコンピュータに導入するソフトウェアで、そのコンピュータに対して、インターネットからの不正な侵入を防いだり、ウイルスの侵入を防御したり、自分のコンピュータを外部から見えなくしたりすることが可能になります。ソフトウェアのメーカーによっては、ウイルス対策ソフトと組み合せて販売されています。

ファイアウォール

ファイアウォールには、
①コストや導入の容易なサーバコンピュータ上のソフトウェアと、
②規模や性能が必要な場合に用いる専用の通信機器
との2種類あります。

企業などのネットワークに使用するファイアウォールは、インターネットと社内のLAN(Local Area Network)との間に設置します。この場合のファイアウォールの基本的な機能は、外部からの不正なアクセスを社内のネットワークに侵入させないようパケットフィルタリングをかけます。

パケットフィルタリング

パケットフィルタリングは、内外を通過するパケットの制御情報や内容を読み取り、フィルタリングテーブルにあらかじめ指定された条件に基づいて通過の可否を判断します。(下記図の下の表)

よく用いられる条件として、送信元IPアドレス、宛先IPアドレス、プロトコルの種類(ICMP/UDP/TCP)、送信元ポート番号、宛先ポート番号、通信の方向(内部→外部/外部→内部)などがあり、これらの組み合わせによって可否を指定します。

決められた通信を通過させたり遮断したりする静的なものだけでなく、ステートフルパケットインスペクション」(SPIStateful Packet Inspection)のように動的に判断するファイアウォールもあります。

SPI

SPIでは、TCPコネクション(Transmission Control Protocol connection)の状態などを一定の範囲で過去の通信履歴を記録しておき、そこから導き出される現在の通信状態に矛盾するパケットが届いた場合、攻撃の試みであるとみなして拒絶し破棄するといったものです。

この機能は、過去にSYNやSYN+ACKを送受信した形跡のないホストから唐突にACKパケットが送られてきたら、相手方の動作の不具合か、何らかの攻撃の一部であることが疑い、通信を拒否するものです。




いいなと思ったら応援しよう!