ファイアウォールの概要
1. 序章
ファイアウォールは、現代のネットワークセキュリティにおいて最も重要で重要なデバイスの1つです。ファイアウォールは、組織や企業を不正な悪意のあるアクセスから保護し、インターネットでの作業において極めて重要な役割を果たします。
このチュートリアルでは、ファイアウォールとそのさまざまな側面について説明します。
2. ファイアウォールとは何ですか?
ファイアウォールはネットワークセキュリティデバイスです。 その主な目的は、着信トラフィックと発信トラフィックを検査し、事前定義された一連のルールに基づいてトラフィックを許可するかブロックするかを決定することです。 その目的は、内部ネットワークと、インターネットなどの外部ソース、からの着信トラフィックとの間にバリアを確立して、潜在的に悪意のあるトラフィックをブロックすることでもあります。
ファイアウォールは、何十年にもわたってネットワークセキュリティの分野における最初の防衛線であり、その使用は今でも広く行われています。 それらは、ハードウェアデバイス、ソフトウェア、またはその2つの組み合わせにすることができます。
構成例を以下に示します。
3. ファイアウォールはどのように機能しますか?
ファイアウォールは、事前定義された一連のルールに基づいて着信トラフィックを注意深く検査します。 セキュリティで保護されていないネットワークまたは悪意のあるソースからの着信トラフィックをフィルタリングして、攻撃や不正アクセスを防止します。
ファイアウォールは通常、コンピューターのエントリポイントまたはポートを保護します。 たとえば、Unixマシンにリモートでアクセスするには、SSHプロトコルを介してSSHクライアントを介してログインします。 この場合、SSHサーバーが実行されているリモートサーバーのポート22に到達します。
4. ファイアウォールの種類
ファイアウォールはソフトウェアまたはハードウェアのいずれかであり、ネットワークで両方を構成することは問題ありません。 ソフトウェア1は、各コンピューターにインストールされ、ポート番号とアプリケーションを介してトラフィックを規制するアプリケーションです。 物理的なものは、ネットワークとゲートウェイの間に設置された機器です。
4.1. パケットフィルタリングファイアウォール
名前が示すように、このタイプは、着信ネットワークパケットを検査し、事前構成されたセキュリティポリシーに基づいてそれらを通過させることを決定します。 パケットフィルタリングは、パケットの送信元IPアドレスと宛先IPアドレスを検証します。 これは最も一般的なファイアウォールタイプです。
パケットフィルタリングは、ステートフルカテゴリとステートレスカテゴリにさらに分類されます。
- ステートレス–パケットを互いに独立して検査します。 コンテキスト情報はありません。
- ステートフル–以前に渡されたパケットに関する情報を記憶します。 このファイアウォールタイプは、ステートレスファイアウォールよりもはるかに安全と見なされます。
パケットフィルタリングファイアウォールは効果的ですが、保護は制限されています。 これらのフィルターの使用も最小限です。リクエストのパケットの内容がアプリケーションに悪影響を与える可能性があるかどうかを判断できません。 特に、信頼できる送信元アドレスからの悪意のある要求は、ファイアウォールがそれについて何も知らなくても、アプリケーションに壊滅的な損害を与える可能性があります。
4.2. 次世代ファイアウォール
次世代ファイアウォール(NGFW) は、従来のファイアウォールテクノロジーと、ウイルス対策、暗号化されたトラフィック検査などのスマート機能を組み合わせたものです。
さらに、NGFWにはディープパケットインスペクション(DPI)が含まれています。これは、パケット自体のデータを検査し、ユーザーが悪意のあるデータを含むパケットをより効果的に識別、分類、または停止できるようにします。 これは、パケットヘッダーのみを検査するパケットフィルタリングと比較して、より高度な機能です。
4.3. プロキシファイアウォール
プロキシファイアウォールアプリケーション層レベルでネットワークトラフィックをフィルタリングします。プロキシは、2つの接続システム間の仲介役として機能します。 ファイアウォールへの着信要求は、プロキシで構成された一連のセキュリティルールに対して評価され、許可またはブロックされます。
さらに、プロキシファイアウォールは、HTTPやFTPなどのアプリケーション層プロトコルのトラフィックを監視します。 ステートフルパケットインスペクションとディープパケットインスペクションの両方を使用してトラフィックを分析します。
4.4. ネットワークアドレス変換ファイアウォール
ネットワークアドレス変換(NAT)ファイアウォールにより、独立したネットワークアドレスを持つ複数のデバイスが単一のIPアドレスを使用してインターネットに接続できます。 したがって、個別のIPアドレスを共通のIPアドレスに変換して、個々のIPアドレスを非表示にします。 その結果、攻撃者がネットワークをスキャンしてIPアドレスを探すと、特定の詳細を取得できなくなります。 したがって、攻撃に対するセキュリティが向上します。
NATファイアウォールはプロキシファイアウォールに似ています。 どちらも、コンピュータのグループと外部トラフィックの間の仲介役として機能します。
5. 結論
この記事では、ファイアウォールと組織のセキュリティ保護におけるファイアウォールの役割について説明しました。
最初に、ファイアウォールとは何か、およびファイアウォールがどのように機能するかについて説明しました。 次に、基本的なパケットフィルタリングファイアウォールからより高度なNATファイアウォールなど、さまざまなタイプのファイアウォールについて説明しました。