ファイアウォール(Firewall)の種類

ファイアウォール(Firewall)とは

 ファイアウォールは、組織内のネットワークへ外部から侵入されるのを防ぐシステムで、信頼できるネットワークと、信頼できないネットワークの境界に置かれます。

 組織内のネットワークは、インターネットなどの外部ネットワークから第三者が侵入し、て、通信内容やサーバなどのコンピュータに保存されているファイルなどを盗み見られたり、改ざんや破壊などが行われないようにする必要があります。

 組織内のネットワークとインターネットなどの外部との境界を流れるデータを監視して、不正なアクセスを検出し、遮断する機能を実現するのがファイアウォールです。

 ファイアウォールは、ネットワークの境界に位置するルータがその役割を担ったり、専用のハードウェア、ソフトウェアをコンピュータに組み込んで使用します。

 ファイアウォールを導入することで、インターネットなどの外部の攻撃から組織内のネットワークを守り、セキュリティを大幅に高めることができます。

 ファイアウォールを日本語に訳すと防火壁です。防火壁とは、火災時の延焼を防止するために設ける耐火構造の壁のことで、煙の流入を防ぐなどを防ぐ安全弁の役割を担っています。

 ネットワークにおいても、外部からの攻撃を防ぐ安全弁のように機能することから、ファイアウォールという名称で呼ばれています。ネットワーク構成図におけるファイアウォールを表すシンボルは、下図のように燃え上がる赤い壁などで表現されます。

ファイアウォールには、以下のように動作するプロトコル階層によって分類されています。

  • パケットフィルタ型ファイアウォール
  • サーキットレベルゲートウェイ型ファイアウォール
  • アプリケーションゲートウェイ型ファイアウォール
  • パーソナルファイアウォール

ファイアウォールの種類

ファイアウォールには、以下のように動作するプロトコル階層によって分類されています。

パケットフィルタ型ファイアウォール

 OSI参照モデルのネットワーク層(レイヤ3)やトランスポート層(レイヤ4)で動作するのが、パケットフィルタ型ファイアウォールです。

基本的には、レイヤ3の情報である

  • 送信元IPアドレス
  • 宛先IPアドレス

の情報を基に通過させるの遮断するのかどうかを判断します。

フィルタの種類によっては

  • 送信元ポート番号
  • 宛先ポート番号

などのレイヤ4のヘッダ内の情報を基に通過させるのかどうかを判断します。

サーキットレベルゲートウェイ型ファイアウォール

 トランスポート層(レイヤ4)レベルの通信を中継して、制御を行うのがサーキットレベルゲートウェイ型ファイアウォールです。

 外部ネットワークと通信を行う際には、ファイアウォールに送信し、ファイヤウォール側で、パケットを再構成して、外部の目的のホストへ送信し、自らが外部と通信した結果を返します。外部の目的のホストから見るとファイアウォールと通信しているように見えます。

この方式のファイアウォールは、専用ソフトウェアがクライアント側に必要になる場合がある点がデメリットです。

 しかし、あらかじめ、たくさんのポートを開けたり、NATを介さなくてもプライベートアドレスを持つ内部ネットワークから外部に接続できるメリットもあります。

アプリケーションゲートウェイ型ファイアウォール

アプリケーションプロトコルレベルの通信を中継し、制御を行うのがアプリケーションゲートウェイ型ファイアウォールです。

 例えば、内部ネットワークから外部ネットワークのWebサーバにアクセスする場合、アプリケーションゲートウェイが社内PCの代理となって目的のWebサーバに中継します。

 そうすることで、社内のPCは、外部と直接接続を行う必要がなくなり、安全にWebサーバを利用することができるようになります。

 このように外部との通信は、全て代理で中継するので、一般的にはプロキシサーバと呼ばれています。

 しかし、この方式は、各アプリケーションごとに個別のプロキシが必要となります。HTTPの通信を中継するには、HTTPプロトコルを解釈できるプロキシが、FTPプロトコルの通信を中継するには、FTPプロトコルを解釈できるプロキシが必要になります。

 各アプリケーションごとに個別のプロキシを用意する必要があるため、対応したプロキシがない場合、この方式では通信が行えないことになります。

パーソナルファイアウォール

 パーソナルファイアウォールは、主に個人利用のPCに直接インストールして使用するファイアウォールです。アンチウイルスソフトウェアやアンチスパイウェアと組み合わせた製品が主流です。オペレーティングシステムの機能として提供されている製品もあります。

 パーソナルファイアウォールは、主に個人利用のPCを対象としており、外部ネットワークからの侵入およびコンピュータ内部からの外部ネットワークへの通信を検知、遮断することを目的としています。

 パケットフィルタ型ファイアウォール、サーキットレベルゲートウェイ型ファイアウォール、アプリケーションゲートウェイ型ファイアウォールなど様々なファイアウォールがありますが、正常な通信の中に紛れ込むウィルスや攻撃は、これらのファイアウォールをすり抜けてしまいます。

 外部からの脅威だけではありません。ファイアウォールの内側の内部的な脅威からも保護することができません。

最後の砦となる役割を担うファイアウォールがパーソナルファイアウォールです。

 パーソナルファイアウォールは、内部から出てゆくパケットや外部から出てゆくパケットを監視することができます。アプリケーションの挙動をリアルタイムに監視し制御することで、きめ細かなフィルタリングを実現することができます。

 ただし、ファイアウォールで全てのウイルスや攻撃を完全に防げる訳ではありません。ウイルスパターンファイルを最新に更新することで、精度を上げる必要があります。