ファイアウォールを再定義する「McAfee Firewall Enterprise v8」 第2回
次世代ファイアウォールの設定はこうなっている
ここまで見えた!アプリケーション制御と可視化を試す
2010年10月27日 09時00分更新
Webアプリケーションの台頭と、それにともなう攻撃の増加により、既存のファイアウォールに限界が露呈している。これに対して有効なのが、アプリケーションの可視化と制御を可能にする次世代ファイアウォールである。ここでは、その代表格「McAfee Firewall Enterprise v8」のアプリケーション可視化・制御を見ていきたい。
ファイアウォールから
アプリケーションを見る取り組み
前回説明したとおり、旧来のファイアウォールにおいては、同じプロトコルを用いた異なるアプリケーションを識別できないという弱点があった。現在では、多くのアプリケーションがWeb化しHTTPという共通のプロトコルを用いたり、ポート80番を使用する。そのため、従来のように1つのポートに1つのアプリケーションといった対応付けを前提としたパケットフィルタリングベースのアクセス制御は、すでに難しくなっているわけだ。しかし、今後SaaS型アプリケーションの利用はますます増えると考えられており、アプリケーションの利用実態をきちんと把握することは、情報システム部には必須の作業となる。
プロトコルに関係なく、アプリケーションの挙動をきちんと可視化し、許可/不許可を制御するという試みは、ファイアウォール進化の歴史で長らく進められてきた。マカフィーの次世代ファイアウォールMcAfee Firewall Enterpriseも、その前身となるSidewinderからパケットレベルではなく、古くからアプリケーションレベルでのアクセス制御を実現していた。
McAfee Firewall Enterpriseが採用している「アプリケーションゲートウェイ」という方式は、ファイアウォールがユーザーの通信を代行する「プロキシ」を用いたアプリケーション制御の技術だ。パケットフィルタリングのようにプロトコル種別やIPアドレス、ポートだけではなく、アプリケーションの制御情報を精査するため、通信をきめ細かくコントロールできるという特徴がある。
以前は処理負荷が大きいというデメリットがあったが、昨今はCPUの能力が向上したことで、十分な性能を実現できるようになった。McAfee Firewall Enterpriseでは、主要なアプリケーションのプロキシを網羅しており、安全にアプリケーションを利用できる環境をユーザーに提供している。
そして、6月に発表されたMcAfee Firewall Enterprise v8では、「AppPrism」という技術を導入し、さらにアプリケーション の可視化・制御に対応した。同じプロトコルを用いる異なるアプリケーションを詳細に識別し、より容易に制御できるようになり、 まさに名実ともに次世代ファイアウォールを名乗る製品に仕上がったわけだ。
McAfee Firewall Enterprise v8で
実現されたアプリケーション制御
今回はMcAfee Firewall Enterprise v8のアプリケーション制御・可視化を実際に見てみよう。
従来のファイアウォールでは、プロトコル種別や宛先や送信元のIPアドレス、ポートなどの条件を組み合わせて、ポリシーを作成する。外部からLANに送信されるパケットのうち、TCPのポート80番を使用するものを通過させ、それ以外は遮断するといった具合だ。
これに対して、McAfee Firewall Enterprise v8はアプリケーション、ユーザー/グループなどの条件を組み合わせることで、アプリケーションの制御ポリシーを作成できる。現状、アプリケーションは1100個以上登録されており、毎月更新される。ビジネスアプリケーション、電子メール、ERP、ファイル共有、P2P、リモート管理、写真やビデオ共有など、30あまりのカテゴリに分類されている。もちろん、ニコニコ動画のような日本独自のアプリケーションへの対応も強化している。一方のユーザー/グループは、ディレクトリサービスからリアルタイムに取得でき、宛先や送信元として指定できる。
McAfee Firewall Enterprise v8では、アプリケーションとユーザー/グループを適切にひも付けてポリシーを作成する。あとはアクションで許可や禁止の措置を行なったり、ログ取得レベルやNATなどの設定を組み合わせれば完了。これに、URLフィルタリング、IPSやアンチウイルスなどを組み合わせれば、ユーザーの環境に合わせたセキュリティポリシーを運用することが可能になる。
(次ページ、アプリケーション使用ルールの作成を見る)
この連載の記事
-
第3回
TECH
リアルタイムに脅威に対抗!クラウドの力を活かせ -
第1回
TECH
脅威は目の前に!次世代ファイアウォールはなぜ必要か? -
TECH
ファイアウォールを再定義する「McAfee Firewall Enterprise v8」 - この連載の一覧へ