ファイアウォールの概要と基本動作

ファイアウォールは外部ネットワークからの許可していない不要なサービスへのアクセスを防御することで、脆弱性をついた悪意のある攻撃や内部システムへの侵入などの脅威から保護する役割を持っています。最近は小さな企業にも重要な課題となっている情報の保護にも関連するセキュリティ機能を持つシステム機器です。

ファイアウォールの概要

なじみのあるファイアウォールとしてはWindowsなどの OS 標準で搭載されているファイアウォールなどもあります。

ネットワーク機器としてのファイアウォールの基本動作はインターネットなどの外部から会社などの組織の内部を保護するために外部と内部の境界線の位置に設置されます。

一般的にサーバー上では、さまざまなサービスが起動している可能性があり、脆弱性のあるサービスが意図せず動作しているような場合は、悪意のあるユーザーがサーバーへ不正アクセスすることを許してしまう場合もあります。

そのような場合に備えて必要なサービスだけをユーザーに提供し、その他の不要なサービスへのアクセスはネットワーク上でブロックすることができる製品がファイアウォールです。

ファイアウォールを経由する通信は、ファイアウォールに設定している情報と照合しチェックされた後、許可されている通信のみが通過します。

あらかじめファイアウォールには、許可または拒否するべき通信を設定しておきます。許可や拒否の設定に使う情報は、一般的には機器の持つ IP アドレスの送信元や宛先に加えてサービスを指定できます。

サービスとは、例えば、ホームページの閲覧に利用する HTTP や電子商取引の際に暗号化を行う HTTPS、メールサーバとの送受信を行う場合の SMTP や POP などのことで、IP アドレスと共にこのようなサービスを指定して設定を行うことができます。

サービスはポート番号に紐づいており、実際の通信上ではサービス名ではなくこのポート番号でサービスを識別して通信しています。

ポート番号とは、OSI 参照モデルのレイヤー4で定義されているプロトコルの TCP とUDP に付与される1～65535番までの番号で、例えば HTTP だと TCP の80番というふうにあらかじめサービスに紐づけられている番号と任意に割り当て可能な番号があります。

このようにファイアウォールの基本動作としては、ファイアウォールに設定されたIPアドレス情報やポート番号情報を持つパケットの通過を許可または拒否したりすることができます。

ファイアウォールは外部からの脅威だけではなくファイアウォールを経由する通信はすべて制御できるため、内部のネットワーク同士でもファイアウォールを経由する必要のある構成にすれば、たとえば一般のPCがあるネットワークとサーバーの置いてあるネットワーク間のアクセスを制限することもできます。

ファイアウォールは基本動作の他にも主に以下のような機能が付いているものや、オプションとして追加可能な製品もあります。内容はメーカーや製品により異なります。

ログ機能：アクセスログは記録を残すことが重要なので、ログを見やすくするためのツールが用意されていたり、ログサーバーとの連携動作で保存が可能なものもあります。
URL フィルタリング：URL を指定して許可または拒否することができる機能。手動のほかにメーカーの持つデータベースを基にカテゴリー分類された職務上好ましくないサイトや公序良俗に反する犯罪、薬物、暴力などのサイトをカテゴリー単位でアクセス禁止が設定可能なものもあります。
Web アプリケーション制御：Youtube やツイッターなどへの Web アプリケーション単位でアクセスを制御する機能。
サンドボックス機能：メールなどで送られてきたファイルをサンドボックスと呼ばれる安全な領域で実際に動作させて確認しマルウェアなど不審なプログラムが存在していないかチェックする機能。