概要
企業などでも採用されているファイアウォールの仕組みについての情報をまとめます
要点
- FWについて ファイアウォールはインターネットから不正アクセスを防ぐために実施する仕組みで、外部からの通信を制御したり、ネットワークを「インターネット」「DMZ」「内部セグメント」の3つに分ける機能を持ちます。
- DMZ(Demilitarized Zone)について DMZはインターネットと内部セグメントの間に存在する領域のことであり、どちらのネットワークからも通信のやり取りができるので、メールサーバやWebサーバなどのように外部に公開するサーバを配置して活用することができます。
- FWの種類について FWには、ヘッダ部分のIPやポート番号を元に制御するパケットフィルタリング型と、HTTP,SMTPなどのアプリケーションプログラムごとに制御するアプリケーションゲートウェイ型の2種類あります。
- 一般的なFWの設定例
- 基本的にはすべてのパケットを停止させ、必要なルールだけを許可する
- pingによる疎通確認のためにICMPは許可する設計もある。(pingも含め不要なパケットは停止する設計もある)
- 設定されたルールは上から順にチェックし、合致するものがあればそのルールが適用されそれ以降は見ない。
- インターネットからDMZへのパケットは、公開Webサーバなどの為に必要なルールのみを許可する。
- 公開サーバだからと言ってすべての通信を許可する設定は適切ではない。
- インターネットから内部セグメントに対するアクセスはすべて禁止にすべきである
- インターネットから許可する通信の宛先はすべてDMZにすべきである。
- 内部セグメントからの通信に関してもすべて許可するのは適せつではない
- PCからインターネットへの直接通信を禁止して、プロキシを経由した通信のみに限定する
- 許可ルールはIPアドレスで指定するのではなく、プロトコルで指定して、使用しないプロトコルは拒否するようにする。
- UTMについて UTMはFWを含むセキュリティ関連の機能を集約した装置
- WAF(Web Application Firewall)について WAFはWebアプリケーションの防御に特化したファイアフォールで、攻撃の可能性があるアクセスパターンをブラックリストに登録したり、逆に安全なアクセスパターンをホワイトリストに登録することができるファイアウォールです。
- FWの二重化 FWの冗長化はVRRP(仮想アドレスを使用する)方式と、サブの装置がメインのIPアドレスを使用して引き継ぐ方式があります。 IPを引き継ぐ方式ではメインの装置が故障したことを検出す裏目に定期的な通信をして、それに成功するかどうかで故障の有無を検知します。
0 件のコメント:
コメントを投稿