【アクセス技術.001】ファイアウォール
佐藤@IT雑貨屋です。
私がIT業界に入った頃、パソコンはスタンドアロンで存在し、ネットワークにはつながれていませんでした。開発する際、ホストマシンは指定されていましたが、パソコン間でデータの授受をするのはフロッピーディスクで行っていたのです。
しかし1990年代に入るとネットワークが少しづつ利用されてきました。これはイントラネットとして社内LANでパソコン間はつながれ始め、Windows95がリリースされてからは、この社内LANとインターネットを介して、様々なサーバと接続され始めたのです。
こうなると社内のネットワークも外部(社外、組織外)から繋がれる脅威も出始めていて、そこで様々なアクセス制御技術も開発されてきて現在に至ります。
ここではこのアクセス技術について書いてみます。
◆ファイアウォール
ファイアウォール(Fire Wall)とは、ネットワーク間に設置され、パケットを中継するか遮断するかを判断し、必要な通信のみ通過させる機能を持つものを指します。このパケット通過の判断の基準となるのが、あらかじめ設定されたACL(Access Control List:アクセス制御リスト)です。
身近な例で言えば、家庭で利用するブロードバンドルータ等はファイアウォールの機能を持ってると言っても良いでしょう。
◆ファイアウォールの種類
このファイアウォールには以下の種類があります。
①パケットフィルタリング型
IPアドレスとポート番号を基にアクセス制御を行います。正確には送信元IPアドレス、宛先IPアドレス、プロトコル、送信元ポート番号、宛先ポート番号の情報に基づき、パケットの通貨可否を決定します。このパケットフィルタリング型には、以下の様な機能を持つものがあります。
・ダイナミックパケットフィルタリング
通信を行う時、最初に要求を行うパケットをリクエスト、その応答をレスポンスと言いますが、ダイナミックパケットフィルタリングでは、リクエストが通過した事を記憶しておき、そのレスポンスは通過させます。こおように、通信の流れを制御することで、いきなりレスポンスを送り付ける攻撃を防ぐ事ができます。
・ステートフルパケットインスペクション
ステートフルインスペクションとも言いますが、パケットの通信のステート(状態)を確認してパケット制御を行います。具体的にはTCPコネクション確立要求(SYN)パケットを記憶し、そのコネクションと同じ流れの一連のパケットを通過させます。複数のパケットのやりとりを管理する事で、より確実な制御を行います。
②アプリケーションゲートウェイ型
HTTP、SMTPなどのアプリケーションプログラムごとに細かく中継可否を設定するファイアウォールです。そのうち、HTTPに特化し、Webアプリケーションのみを対象とするのがWAF(Web Application Firewall)です。
◆DMZ
ファイアウォールでは、インターネットから内部ネットワークへのアクセスを制御します。しかし完全に防御するたけでなく、外部に公開する必要のあるWebサーバやメールサーバなどがあります。そこでインターネットと内部ネットワークの間に中間のネットワークとしてDMZ(非武装地帯:DeMikitarizaed Zone)が設置される様になりました。
DMZを中間に設置することで、内部ネットワークの安全性が高まりまあす。ファイアウォールの中には、DMZを接続するポートを持ち、1台で内部と外部、DMZの三つのネットワークを中継するものもあります。また、DMZにプロキシサーバを設置し、PCからインターネットへのWebアクセスなどを中継する事も可能です。