このページの本文へ

前へ 1 2 次へ

セキュリティの素朴な疑問を解く第8回

Q&A形式でセキュリティの基礎を学ぼう

ファイアウォールはどのように動くのですか?

2009年07月08日 09時00分更新

文● 伊藤玄蕃

  • この記事をはてなブックマークに追加
  • 本文印刷

Q. ファイアウォールの仕組みは?

A. 送受信されるパケットを検査して、ポリシーで許可された通信だけを通します。

ファイアウォールはなぜ必要か

 現在、インターネットは社会のあらゆる場面で利用されるようになった。そのため、残念ながら現実社会と同じように犯罪にも利用され、悪意のある攻撃が蔓延している。マンションを狙うピッキング犯がいるように、インターネットにも「クラッカー」と呼ばれる「不正アクセスや攻撃の常習犯」が多数存在する。彼らの攻撃からPCやネットワークを守り、会社や個人の情報が漏えいすることを防ぐために、ファイアウォールはインターネット接続の必需品となっている

 ファイアウォールの役割は、現実社会でいえば国境や空港に設置された「検問所」に相当する。すなわち、ファイアウォールは、保護すべき内部ネットワーク(社内や家庭内のネットワーク)と、安全ではない外部のネットワーク(インターネットなど)とを分離するものである。そして、2つネットワークの境界線上でパケットの出入を監視し、不正なアクセスや攻撃を防止する。

 このファイアウォールの役割を実際に果たすのは、ファイアウォール専用機やルータなどのハードウェアだ。あるいはセキュリティ対策ソフトやOSに付属する、パーソナルファイアウォールといったソフトウェアもある。これらの製品は外部からの内部へのアクセスを制限するだけでなく、内部から外部へのアクセスも制限する。これは、マルウェアや内部犯による情報漏えいを防止するため必須の機能である。

ファイアウォールの基本

 ファイアウォールの基本は、ネットワークの境界を出入するパケットを監視し、あらかじめ決められた規則(ポリシー)に合致したパケットだけを通過させる「パケットフィルタ」機能である。パケットフィルタには以下の2種類がある。

静的フィルタ

 内部と外部のネットワークの境界を通過しようとするパケットの、宛先IPアドレス/送信元IPアドレス/宛先ポート番号/送信元ポート番号/パケットの方向をチェックする。そしてポリシーに照らし合わせて、そのパケットを通過させるか遮断するかを制御する方法を「静的フィルタ」と呼ぶ(図1)。静的フィルタは、ファイアウォールとしてもっとも基本的で、かつ最低限の機能である。

図1 パケットフィルタ

動的フィルタ

 先に説明した静的フィルタ方式は、ポリシーごとに壁に穴(ポート)を開けるイメージだ。WebアクセスのためHTTP用の穴を開け、FTPを通すために別の穴を開けるといった具合である。しかし、穴が多くなれば壁の強度は下がるし、この穴はつねに開いたままなので脆弱性が増える。そこで、実際に通信を行なうときにだけ穴を開け、通信していなければ閉じる方法が考案された。これを「動的フィルタ」と呼ぶ。

 TCPの通信では、通信を開始する際と終了する際に、それぞれ特別なパケットが流される。そこで動的フィルタでは、ポリシーに合致するパケットのうち、通信開始時のパケットが流れたら穴を開け、通信終了時のパケットが流れたら穴を閉じるという動作を行なう。また、通信障害などで通信終了時のパケットが流れてこない場合もあるため、通信が途絶してから一定時間が経過すると穴を閉じる。

(次ページ、「進化するファイアウォール」に続く)


 

前へ 1 2 次へ

この連載の記事
ピックアップ