このページの本文へ

前へ 1 2 3 次へ

ファイアウォールを再定義する「McAfee Firewall Enterprise v8」 第2回

次世代ファイアウォールの設定はこうなっている

ここまで見えた!アプリケーション制御と可視化を試す

2010年10月27日 09時00分更新

文● 大谷イビサ/TECH.ASCII.jp 記事協力●マカフィー

  • この記事をはてなブックマークに追加
  • 本文印刷

Webアプリケーションの台頭と、それにともなう攻撃の増加により、既存のファイアウォールに限界が露呈している。これに対して有効なのが、アプリケーションの可視化と制御を可能にする次世代ファイアウォールである。ここでは、その代表格「McAfee Firewall Enterprise v8」のアプリケーション可視化・制御を見ていきたい。

ファイアウォールから
アプリケーションを見る取り組み

 前回説明したとおり、旧来のファイアウォールにおいては、同じプロトコルを用いた異なるアプリケーションを識別できないという弱点があった。現在では、多くのアプリケーションがWeb化しHTTPという共通のプロトコルを用いたり、ポート80番を使用する。そのため、従来のように1つのポートに1つのアプリケーションといった対応付けを前提としたパケットフィルタリングベースのアクセス制御は、すでに難しくなっているわけだ。しかし、今後SaaS型アプリケーションの利用はますます増えると考えられており、アプリケーションの利用実態をきちんと把握することは、情報システム部には必須の作業となる。

 プロトコルに関係なく、アプリケーションの挙動をきちんと可視化し、許可/不許可を制御するという試みは、ファイアウォール進化の歴史で長らく進められてきた。マカフィーの次世代ファイアウォールMcAfee Firewall Enterpriseも、その前身となるSidewinderからパケットレベルではなく、古くからアプリケーションレベルでのアクセス制御を実現していた。

 McAfee Firewall Enterpriseが採用している「アプリケーションゲートウェイ」という方式は、ファイアウォールがユーザーの通信を代行する「プロキシ」を用いたアプリケーション制御の技術だ。パケットフィルタリングのようにプロトコル種別やIPアドレス、ポートだけではなく、アプリケーションの制御情報を精査するため、通信をきめ細かくコントロールできるという特徴がある。

 以前は処理負荷が大きいというデメリットがあったが、昨今はCPUの能力が向上したことで、十分な性能を実現できるようになった。McAfee Firewall Enterpriseでは、主要なアプリケーションのプロキシを網羅しており、安全にアプリケーションを利用できる環境をユーザーに提供している。

図1 アプリケーションゲートウェイの仕組み

 そして、6月に発表されたMcAfee Firewall Enterprise v8では、「AppPrism」という技術を導入し、さらにアプリケーション の可視化・制御に対応した。同じプロトコルを用いる異なるアプリケーションを詳細に識別し、より容易に制御できるようになり、 まさに名実ともに次世代ファイアウォールを名乗る製品に仕上がったわけだ。

McAfee Firewall Enterprise v8で
実現されたアプリケーション制御

 今回はMcAfee Firewall Enterprise v8のアプリケーション制御・可視化を実際に見てみよう。

 従来のファイアウォールでは、プロトコル種別や宛先や送信元のIPアドレス、ポートなどの条件を組み合わせて、ポリシーを作成する。外部からLANに送信されるパケットのうち、TCPのポート80番を使用するものを通過させ、それ以外は遮断するといった具合だ。

 これに対して、McAfee Firewall Enterprise v8はアプリケーション、ユーザー/グループなどの条件を組み合わせることで、アプリケーションの制御ポリシーを作成できる。現状、アプリケーションは1100個以上登録されており、毎月更新される。ビジネスアプリケーション、電子メール、ERP、ファイル共有、P2P、リモート管理、写真やビデオ共有など、30あまりのカテゴリに分類されている。もちろん、ニコニコ動画のような日本独自のアプリケーションへの対応も強化している。一方のユーザー/グループは、ディレクトリサービスからリアルタイムに取得でき、宛先や送信元として指定できる。

図2 従来のファイアウォールとMcAfee Firewall Enterprise の設定の違い

 McAfee Firewall Enterprise v8では、アプリケーションとユーザー/グループを適切にひも付けてポリシーを作成する。あとはアクションで許可や禁止の措置を行なったり、ログ取得レベルやNATなどの設定を組み合わせれば完了。これに、URLフィルタリング、IPSやアンチウイルスなどを組み合わせれば、ユーザーの環境に合わせたセキュリティポリシーを運用することが可能になる。

(次ページ、アプリケーション使用ルールの作成を見る)


 

前へ 1 2 3 次へ

カテゴリートップへ

この連載の記事
  • 角川アスキー総合研究所
  • アスキーカード