ファイアウォールの基礎知識:ファイアウォール運用の基礎(1)(2/2 ページ)
ファイアウォールの種類
ファイアウォールは大きく分けて、パケットフィルタリング型とプロキシ型に分類できます。この2つのタイプのファイアウォールの特徴と仕組みについて、紹介します。
パケットフィルタリング型ファイアウォールの仕組み
TCP/IP ネットワークにおいて、データはパケットと呼ばれる単位でやりとりされます。パケットは「小包」という意味で、その名が表すとおり、データを細切れにして送る小包のようなものです。パケットフィルタリング型は、主にパケットのヘッダ部分を参照することによって、アクセスの許可/不許可を決定します。ヘッダとは、小包のあて名書きのようなもので、データの送り主やあて先などの情報が記録されています。
パケットフィルタリング型は、小包の送り主やあて先を見て配送先を決定する、郵便局のような役割を果たします。その仕組みは非常に単純で、小包の中身を確認せずに、あて名書きを確認しただけで配送の許可/不許可を決定します。そのため、非常に高速に処理を行うことができます。
パケットフィルタリングとNAT
セキュリティを高めるために、パケットフィルタリング型のファイアウォールでは、パケットフィルタリングと同時にアドレス変換機能をよく使います。アドレス変換とは、NAT(Network Address Translation)と呼ばれ、パケットの送信元/送信先アドレスを書き換えてしまう機能のことをいいます。例えば、以下のネットワークでは、クライアントがファイアウォールを越えてサーバにアクセスする際に、送信元アドレスを書き換える例とそうでない例を示します。
図4 2種類のNATの概念図。ファイアウォール越しの通信において、ホストBからはAと直接通信しているように見えているが、ホストCからはファイアウォールと通信しているように見えるアドレス変換されたパケットの応答がサーバから帰ってくるときに、今度は送信先アドレスが書き換えられます。このように、応答パケットのアドレスも置き換えてやらなければ通信が成立しないので、ファイアウォールは通信の状態を保持するNATテーブルを内部に持っています。NATを使うと、サーバから見たパケットの送信元は、ファイアウォールマシンになります。従って、内部のクライアントの存在は、通信相手のサーバから完全に隠されることになります。外部から存在が隠される、つまり外部からはアクセスできないため、内部のホストのセキュリティが高まるのです。
プロキシ型ファイアウォールの仕組み
プロキシ(proxy)とは代理という意味で、クライアントからの要求を代理で処理し、その応答をクライアントに返すアプリケーションのことをいいます。プロキシ型では、ファイアウォールが代理でサーバにアクセスするため、サーバから見たパケットの送信元は、ファイアウォールマシンになります。そのため、実際にリクエストを行ったクライアントの存在は、サーバから完全に隠されることになります。これは、パケットフィルタリング型+NATとよく似ていますが、プロキシ型はさらに高度な機能を提供します。
プロキシ型のファイアウォールは、小包(パケット)をすべて開封して、あて先や中身を確認した後、代理で配送を行う配達人のような役割を果たします。同時に、ユーザー単位でのアクセス制限や、コンテンツによるフィルタリングなど、パケットフィルタリング型より細かい設定が可能です。プロキシ型がパケットの中身(データ部分)まで参照しているため、このようなことが可能なのです。しかし、その分処理が多くなってしまうため、パケットフィルタリング型と比べるとパフォーマンスがあまりよくない、という欠点があります。その代わり、プロキシ型はパケットフィルタリング型と比べて、TCP/IP についてあまり詳しい知識を必要としない、ログを参照すると通信状況が一目で分かる、などの利点を持っています。
ここで、2つのタイプのファイアウォールを比較してみましょう。
| パケットフィルタリング型 | プロキシ型 | |
|---|---|---|
| スループット | ◎ | △ |
| クライアントの透過性 | ◎ | ○ |
| 管理のしやすさ | △ | ◎ |
| ユーザー認証による制御 | △ | ◎ |
| コンテンツによる制御 | △ | ◎ |
| ログの見やすさ | △ | ◎ |
| 各種サービスの対応度 | ◎ | ○ |
| 表1 パケットフィルタリング型とプロキシ型での機能の比較図 | ||
以上のように分類しましたが、実際はパケットフィルタリングでは実現が難しい機能を、プロキシ型の機能を使用して補うといったことをやっています。そのため、両者は機能の点においては、ほとんど違いはないといってもよいでしょう。
最近の傾向では、さまざまなネットワークサービスの登場やネットワークのブロードバンド化によって、多種多様なサービスに対応し、かつ高速なスループットが期待できる、パケットフィルタリング型のファイアウォールが導入されることが多いようです。さらに、ファイアウォールの設計・構築・運用を、専門の知識を持ったセキュリティベンダーに外注する、といったことも増えてきています。
ファイアウォール構築には、何が必要か?
ファイアウォールの構築にあたっては、まずポリシー設計から始めます。ポリシーとは、アクセス制限のルールだけでなく、ファイアウォールを運用する際の方針まで含みます。これは非常に大切なことですが、ファイアウォールはインターネットへのゲートウェイの役割を果たしているため、ファイアウォールに障害が発生して停止してしまうと、メールが送受信できないなど、業務が滞ってしまう可能性があります。従って、障害の発生を考慮したうえで、ハードウェアやファイアウォール製品の選定から始めるべきです。
次回からは、ファイアウォールを構築するうえで検討するべき点や、実際にソフトウェアを使用して、ファイアウォールを構築・運用するまでを紹介していきます。また、ファイアウォールの構築を始める前に、TCP/IP の基礎と簡単なパケットフィルタリングについても紹介する予定です。
Copyright © ITmedia, Inc. All Rights Reserved.
注目のテーマ
ITmediaはアイティメディア株式会社の登録商標です。