内部ファイアウォールの設計
公開日: 2004年9月7日
トピック
モジュールの内容
目的
適用対象
モジュールの使用方法
設計ガイドライン
システムに対する攻撃と防御
デバイスの定義
ファイアウォールの機能
ファイアウォールのクラス
クラス 1 - パーソナル ファイアウォール
クラス 2 - ルーター ファイアウォール
クラス 3 - 下位ハードウェア ファイアウォール
クラス 4 - 上位ハードウェア ファイアウォール
クラス 5 - 上位サーバー ファイアウォール
ハードウェア要件
可用性
セキュリティ
スケーラビリティ
統合
標準およびガイドライン
要約
参照情報
モジュールの内容
このモジュールは、組織の内部ネットワークに適したファイアウォール製品の選択に役立つ情報を提供します。ここでは、使用可能なファイアウォールの様々なクラスを示し、その主な機能について説明します。このモジュールはまた、独自の要件を決定するためのガイドとして使用できます。ここで説明する内容は、最適な製品を選択するときに役立ちます。
目的
このモジュールの目的は次のとおりです。
内部ファイアウォールに必要な機能を示す。
ファイアウォール製品をクラス分けする。
内部ファイアウォールに最適なファイアウォール製品を選定する。
適用対象
このモジュールは、次のテクノロジに適用されます。
- イーサネット/IP ベースのファイアウォール製品
モジュールの使用方法
このモジュールでの説明は、TCP/IP プロトコルおよび自社のネットワーク アーキテクチャについての知識があることを前提としています。これらの知識は、内部ファイアウォールを介した通信トラフィックで、何が有効とみなされ、何が無効かを区別するのにも役立ちます。
このモジュールで説明する設計のガイドラインは、拡張性やコストなどの重要事項を考慮したうえでの、ファイアウォールに必要な機能の選択に適用できます。ここでは、ファイアウォールのさまざまなクラスも定義されます。この設計ガイドラインを使用して、要件に適した最適なファイアウォール クラスを選択できます。このモジュールで説明する知識と技術用語に基づいて、ファイアウォールの製造元とその製品について検討したり、要件に対する適合性を評価できます。
設計ガイドライン
このモジュールでは、エンタープライズ ネットワークで使用する内部ファイアウォールに関する要件、その要件を満たす機器の種類、およびファイアウォールの導入パターンについて説明します。残念なことに、社内および社外のユーザーによるネットワークへの侵入は、日常的に発生しています。つまり、企業はこのような侵入から社内ネットワークを保護するしくみを確立する必要があります。ファイアウォールはネットワークの保護を提供する一方で、費用がかかり、トラフィック フローの妨げにもなります。このため、できる限りコスト面の効果および効率が高いものを選択する必要があります。
ネットワーク アーキテクチャ
エンタープライズ ネットワーク アーキテクチャ内には、一般的に次の 3 つのゾーンがあります。
外部ネットワーク このネットワークはルーター経由でインターネットに直接接しているため、基本的なネットワーク トラフィックをフィルタリングすることで、最初の保護レイヤを提供する必要があります。ルーターは、境界ファイアウォールを経由して、境界ネットワークにデータを送信します。
境界ネットワーク このネットワークは、DMZ (非武装地帯) またはエッジ ネットワークとも呼ばれ、接続しようとするユーザーを Web サーバーまたは他のサービスにリンクします。次に、Web サーバーは、内部ファイアウォールを経由して内部ネットワークにリンクします。
内部ネットワーク 内部ネットワークは、SQL Server などの内部サーバーおよび内部ユーザーにリンクします。
大企業には、一般に 2 種類のファイアウォール、つまり境界ファイアウォールと内部ファイアウォールが配置されています。これら 2 種類のファイアウォールで実行される処理は似ていますが、重要な違いもあります。境界ファイアウォールの主な目的は、信頼関係のない外部ユーザーに対して制約を課すことです。一方、内部ファイアウォールの主な目的は、外部ユーザーが内部ネットワークにアクセスできないようにすること、および、内部ユーザーが実行できる処理を限定することです。境界ファイアウォール設計の詳細については、「ファイアウォールの設計」を参照してください。
図 1 は、これらのネットワークを示したものです。
図 1: エンタープライズ ネットワーク アーキテクチャ
設計時の検討項目
ファイアウォールは、受信 IP パケットを検査し、ネットワークに侵入しようとしているパケットを検出して遮断します。特定のパケットは既定で不正とみなされ、遮断されます。また、指定したパケットを遮断するようにファイアウォールを構成することもできます。TCP/IP プロトコルは、ハッキングや侵入などの概念がなかった頃に設計されたので、多くの弱点を抱えています。たとえば、TCP/IP 内の通知メカニズムとして設計された ICMP プロトコルは、不正使用を防止するしくみを備えていないため、サービス拒否 (DoS) 攻撃などの問題を引き起こすおそれがあります。内部ファイアウォールには、境界ファイアウォールよりも厳しい条件が求められます。これは、内部トラフィックの正しい送信先は内部ネットワーク上の任意のサーバーである可能性があるため、内部トラフィック制御の難度が高いからです。
現在さまざまな種類のファイアウォール製品が販売されており、各製品は、価格だけでなく、機能や性能の面でも違いがあります。一般に、高価な製品ほど、性能と機能が優れています。このモジュールでは、ファイアウォールをクラス分けしてその違いを説明しますが、ファイアウォールを選ぶ際には、自社の要件を明確にする必要があります。検討すべき事項は次のとおりです。
予算
既存の設備
可用性
スケーラビリティ
必要な機能
予算
どのくらいコストをかけられるかを検討します。ネットワーク上に設置する各ファイアウォールにおいては、サービス レベルを最大限に高めると同時に費用対効果を維持すべきです。ただし、ファイアウォールに対する予算の制約が厳しすぎる場合、業務に支障をきたすおそれがあります。たとえば、DoS 攻撃によってサービスが中断した場合の損失額を検討する必要があります。
既存の設備
既存の設備を活用してコストを節約できるかどうかを検討します。たとえば、環境内には既に、再利用可能なファイアウォールや、ファイアウォール機能を備えたルーターが存在していることがあります。
可用性
ファイアウォールを常時稼動させておく必要があるかどうかを検討します。無停止型の Web サーバー サービスを一般提供している場合、ほぼ 100% の稼動時間を実現する必要があります。どんなファイアウォールでも障害の可能性は常にあるため、その可能性を小さくする必要があります。ファイアウォールの可用性を向上させるには、次の 2 つの方法があります。
コンポーネントの冗長化 電源装置など、障害が発生しやすいコンポーネントを二重化させると、1 つ目のコンポーネントに障害が発生しても運用に影響が出ないため、ファイアウォールの障害許容力が向上します。ただし低コストのファイアウォールは一般的に冗長化オプションを備えていません。障害許容力を向上させるにはコストがかかりますが、処理能力は上がりません。
デバイスの二重化 ファイアウォール デバイスを二重化させると全体的な障害対応システムが提供されますが、ネットワークの接続と、ファイアウォールを接続するルーターまたはスイッチの接続も二重化していなければならないため、この場合もかなりのコストがかかります。ただし、ファイアウォールのタイプによっては、代わりにスループットが 2 倍になることもあります。理論上は、規模の大小にかかわらずすべてのファイアウォールを二重化できますが、実際はソフトウェア切り替えメカニズムも必要になります。このメカニズムは小規模のファイアウォールには存在しない場合があります。
スケーラビリティ
ファイアウォールのスループット要件を検討する必要があります。スループットは、1 秒間に転送されるビット数と 1 秒間に転送されるパケット数の両面で検討できます。新規事業の場合、スループット レートを把握できないことがありますが、事業が成功を収めた場合、インターネットからのスループットが急速に増加します。したがって、スループット要件の増加に対応できる方法を考える必要があります。この場合、スループット要件の増加に合わせて拡張可能なファイアウォール製品を選定する必要があります。具体的には、部品の増設によってファイアウォールを拡張できるか、または、別のファイアウォールを並列して設置できるか、という点を検討します。
必要な機能
どのファイアウォール機能が必要であるかを検討します。組織内で提供されるサービスに対して実施されるリスク評価に基づいて、そのサービスを提供する資産の保護に必要なファイアウォール機能を決定できます。仮想プライベート ネットワーク (VPN) が必要な場合は、設計に影響があるのでこの点の検討も必要です。
システムに対する攻撃と防御
このセクションでは、よく知られたシステム攻撃のいくつかの概要と、最前線の防御としてファイアウォール サービスを使用する理由について説明します。
外部からの攻撃
インターネットは、企業に悪影響を及ぼしたり企業秘密を盗んで競争力を確保したりしようとするときに、道具として悪用されることがよくあります。境界ファイアウォールをインストールして侵入のログを確認すると、その数に驚かされます。これらの侵入の多くは、マシンが応答するか、どのようなサービスが実行されているかということを探ることを目的にしています。これは、一見無害ですが、攻撃者がマシンの存在を発見した場合、次にその弱点を認識してサービスを攻撃する可能性があります。
内部からの攻撃
システムに対する攻撃は、インターネット経由で行われるとはかぎりません。社内ネットワークの内部ユーザーからも、機密情報を保護する必要があります。ほとんどの組織には機密情報があり、従業員だけでなくベンダ、請負業者、顧客などを含む内部ネットワークの特定のユーザーからその情報を保護する必要があります。
侵入の脅威
侵入にはさまざまな方法がありますが、ここでそのすべての形態を説明するには限界があります。それは、新しい侵入方法が毎日のように生まれているからです。サーバーのIP アドレスへの Ping など、一部の攻撃は無害に思えるかもしれません。ただし、ハッカーがサーバーの存在を検出した場合、もっと重大な攻撃を試みる可能性があります。つまり、すべての攻撃は潜在的に有害であると考える必要があります。主な侵入形態は次のとおりです。
パケット スニファ スニファとは、LAN に接続され、イーサネット フレームから情報を取得するソフトウェア アプリケーションまたはハードウェア デバイスです。このシステムの本来の目的は、イーサネット トラフィックのトラブルシューティングと分析、またはフレームをより深く掘り下げた個別 IP パケットの調査にあります。スニファは、プロミスカス モードで実行されるため、物理的なワイヤ上のすべてのパケットをリスンします。Telnet などの多くのアプリケーションは、スニファ製品で読むことができるクリア テキストでユーザー名とパスワード情報を送信します。つまり、スニファを所有しているハッカーは多くのアプリケーションにアクセスできます。
スニファはネットワーク トラフィックを生成しないため、また、スニフィングを行う侵入者の多くは、ファイアウォールの内部にいる社内ユーザーであるため、スニフィングをファイアウォールで防ぐことはできません。無料のスニファ ソフトウェアをインターネットから簡単にダウンロードできるので、社内ユーザーが自分の PC 上でスニファ ソフトウェアを実行し、通過するパケットを調べている可能性があります。社内の PC 上で Microsoft® Windows® オペレーティング システムを実行している場合、ユーザーがスニファを実行するには一般に管理者権限が必要なので、スニフィングを試みるユーザー数が制限されます。ただし、管理者権限を持っているユーザーであればスニファを実行できるため、このようなユーザーが多数存在する可能性があります。このようなユーザーは、機密データにアクセスできるだけでなく、前述のようにクリア テキスト パスワードを知ることができます。すべてのアプリケーションに対して同じパスワードを使用するユーザーが多いので、侵入者はエンコードされたパスワードの値を推測し、さらに先までアクセスすることができます。スニフィングを阻止する手段はいろいろあります。代表的な手段は、まず強力に暗号化されたパスワードを使用することですが、それについてはこのモジュールでは説明しません。
IP 偽装 IP 偽装は、IP パケットの送信元アドレスが変更され、送信者の ID が隠されるときに発生します。インターネット内のルーティング処理では、パケットを送信する送信先アドレスだけを使用し、送信元アドレスは無視します。そのため、ハッカーは受信側に送信元を知られずにソースを偽装し、破壊的なパケットをシステムに送信できます。偽装は、必ずしも破壊的とは限りませんが、侵入が間近であるシグナルとなります。アドレスは、侵入者の ID を隠すため、ネットワーク外であることも、特権アクセスができる信頼された内部アドレスの 1 つであることもあります。偽装は、一般的に DoS 攻撃に使用されます。この攻撃については後で説明します。
サービス拒否 (DoS) 攻撃 サービス拒否 (DoS) 攻撃は、最も防御が困難な攻撃の 1 つです。この攻撃は、ネットワークに対して永続的な損害を与えることがないという点で、他のタイプの攻撃とは異なります。代わりに、特定のコンピュータ (サーバーまたはネットワーク デバイス) を激しく攻撃したり、ビジネスの損失や顧客の悪感情を招くほど極端なレベルまでネットワーク リンクのスループットを低下させたりすることによって、ネットワークの機能を停止させようとします。分散 DoS (DDoS) 攻撃では、あるシステムに的を絞った攻撃が、他の多数のコンピュータから開始されます。攻撃を行うコンピュータは意図的に攻撃を行っているのではなく、そのセキュリティ上の脆弱性から他のコンピュータへの侵入が可能になってしまう場合があります。
アプリケーション レイヤ攻撃 アプリケーション レイヤ攻撃は、最近広く知られるようになった攻撃で、通常は Web サーバーやデータベース サーバーなどのアプリケーションの既知の弱点を使用します。特に Web サーバーの場合、問題なのは身元がわからず信頼もできないパブリック ユーザーからアクセスされるように設計されていることです。ほとんどの攻撃は、製品の既知の弱点を攻撃します。したがって最大の防御策は、製造元から最新の更新をインストールすることです。悪名高い SQL Slammer ワームは、2003 年 1 月に登場し、非常に短期間で 35,000 のシステムに影響を与えました。このワームは、Microsoft SQL Server 2000 の既知の問題を悪用しました。マイクロソフトは 4 か月前の 2002 年 8 月に既に修正プログラムを発行していましたが、多くの管理者は推奨アップデートを適用していませんでした。また、ワームが使用したポートへのパケットを削除できる適切なファイアウォールも配置していないという事実にも付け込まれました。ファイアウォールは、これらの状況ではバックネットに過ぎません。製造元は、特にアプリケーション レイヤ攻撃を避けるために、すべての製品にアップグレードを適用することを推奨しています。
ネットワーク偵察 ネットワーク偵察とは、攻撃を開始する前にネットワークをスキャンして有効な IP アドレス、Domain Name System (DNS) 名、および IP ポートを検出することです。ネットワーク偵察それ自体は無害です。ただし、使用されているアドレスを検出できれば、有害な攻撃を仕掛けることができます。実際に、ファイアウォールのログを見ると、ほとんどの侵入はこの性質のものであることがわかります。典型的なプローブには、リスンしている Transport Control Protocol (TCP) および User Datagram Protocol (UDP) ポート、および Microsoft SQL Server、NetBIOS、HTTP、SMTP によって使用されるその他の既知のリスン ポートのスキャンが含まれます。このようなプローブはすべて応答を探します。これは、サーバーが存在し、これらのいずれかのサービスを実行していることをハッカーに通知します。これらのプローブの多くは、境界ルーターまたはファイアウォールによって阻止できますが、多くのサービスをオフにする必要があり、これにより、ネットワーク診断機能が制限される可能性があります。
デバイスの定義
ファイアウォールは、2 つのネットワーク間の IP トラフィックの流れを制御するメカニズムです。ファイアウォール デバイスは、通常 OSI モデルの L3 で動作しますが、同様にそれより高いレベルで動作できるものもあります。
内部ファイアウォールで提供される一般的な長所は次のとおりです。
内部サーバーをネットワーク攻撃から守る。
ネットワーク使用ポリシーおよびアクセス ポリシーを適用する。
トラフィックを監視し、疑わしいパターンが検出されたときに警告を生成する。
重要なのは、ファイアウォールで軽減されるのは特定のタイプのセキュリティ リスクだけであることを認識することです。一般的に、ファイアウォールでは、ソフトウェアの脆弱性が原因でサーバーに損害が発生することを防ぐことはできません。ファイアウォールは、組織の包括的なセキュリティ アーキテクチャの一部として実装してください。
ファイアウォールの機能
ファイアウォールがサポートする機能に応じて、トラフィックは、さまざまな技術を使用して許可またはブロックされます。これらの技術は、ファイアウォールの機能に基づいて、さまざまなレベルの保護を提供します。次に、ファイアウォール機能を単純なものから順にリストします。
ネットワーク アダプタ入力フィルタ
静的パケット フィルタ
ネットワーク アドレス変換 (NAT)
ステートフル インスペクション
回線レベル インスペクション
アプリケーション レイヤ フィルタリング
複雑な機能を提供するファイアウォールは、より単純な機能もサポートしているのが普通です。しかし、暗黙の機能と実際の機能がわずかに異なる場合があるため、ファイアウォールを選択するときはベンダ情報を注意深く参照する必要があります。ファイアウォールを選択するときは、機能について問い合わせ、それをテストして実際に製品が仕様どおりに動作することを確認する必要があります。
ネットワーク アダプタ入力フィルタ
ネットワーク アダプタ入力フィルタは、着信パケット内の送信元または送信先のアドレスおよびその他の情報を調べ、パケットを阻止するか通過を許可します。これは、着信トラフィックにのみ適用され、発信トラフィックの制御はできません。フィルタは、IP アドレス、UDP および TCP のポート番号、トラフィックのプロトコル、TCP、UDP、および Generic Routing Encapsulation (GRE) を照合します。ネットワーク アダプタ入力フィルタを使用すると、ファイアウォールで設定されたルール条件に適合する標準の着信パケットをすばやく効率的に拒否できます。しかし、この形式のフィルタリングは、IP トラフィックのヘッダーを照合するだけで、フィルタされるトラフィックが IP 標準に従っていること、またフィルタを回避するための細工がされていないことを基本的な前提として動作しているため、簡単に回避ができます。
静的パケット フィルタ
静的パケット フィルタは、単純に IP ヘッダーを照合して、トラフィックのインターフェイス通過を許可するかどうかを決定するという点で、ネットワーク アダプタ入力フィルタと似ています。ただし、静的パケット フィルタは、インターフェイスへの着信通信だけでなく発信も制御できます。また、一般的に、静的パケット フィルタは、IP ヘッダーに肯定 (ACK) ビットが設定されているかどうかをチェックする機能をネットワーク アダプタ フィルタリングに追加できます。ACK ビットは、パケットが新規要求か、元の要求に対する応答要求かを示す情報を与えます。パケットがそれを受信しているインターフェイスによってもともと送信されていることは検証されません。単に IP ヘッダーの規則に基づいて、インターフェイスに着信するトラフィックが応答トラフィックのように見えるかどうかだけがチェックされます。
この技術は、TCP プロトコルだけに適用され、UDP プロトコルには適用されません。ネットワーク アダプタ入力フィルタリングと同様に、静的パケット フィルタリングも非常に高速ですが、その機能は限られているため、特に細工されたトラフィックであればすり抜けることができます。
ネットワーク アドレス変換
世界中の IP アドレスの範囲のうち、特定のアドレスの範囲が "プライベート アドレス" として割り当てられています。これらは、組織内で使用されることが想定され、インターネット上では意味がありません。これらの IP アドレスへのトラフィックは、インターネット経由ではルーティングできません。したがって、プライベート アドレスを組織内のデバイスに割り当てると、侵入からある程度保護されます。しかし、これらの内部デバイスは、インターネットにアクセスする必要があることが多いため、ネットワーク アドレス変換 (NAT) によってプライベート アドレスがインターネット アドレスに変換されます。
NAT は厳密にはファイアウォール技術とはいえませんが、サーバーの本当の IP アドレスを隠すことで、攻撃者がサーバーに関する重要な情報を入手するのを阻止します。
ステートフル インスペクション
ステートフル インスペクションでは、すべての発信トラフィックが状態テーブルに記録されます。接続トラフィックがインターフェイスに返されると、状態テーブルで、このインターフェイスから発信されたトラフィックであることが確認されます。ステートフル インスペクションは、静的パケット フィルタリングよりもわずかに低速です。ただし、発信トラフィックの要求と一致した場合のみトラフィックの通過が許可されることを保証します。状態テーブルには、送信先 IP アドレス、送信元 IP アドレス、呼び出されているポート、および発信元ホストなどのアイテムが含まれています。
ファイアウォールには、より多くの情報 (送受信された IP フラグメントなど) を状態テーブルに格納するものもあります。ファイアウォールは、フラグメント化された情報のすべてまたは一部だけが返されたときにトラフィックが処理されたことを検証できます。ファイアウォールのベンダが異なれば、ステートフル インスペクション機能の実装も異なるため、ファイアウォールのドキュメントを注意深く参照する必要があります。ステートフル インスペクション機能は、一般的に、ネットワーク偵察と IP 偽装によって生じるリスクを軽減するのに役立ちます。
回線レベル インスペクション
回線レベル フィルタリングでは、接続やパケットではなく、セッションを検査できます。セッションは複数の接続を含むことがあります。動的パケット フィルタリングと同様、セッションはユーザー要求に対してのみ確立されます。回線レベル フィルタリングでは、FTP やストリーミング メディアなどの二次接続のプロトコルを組み込みでサポートしています。この機能は、ネットワーク偵察、DoS、IP 偽装の各攻撃によって生じるリスクを軽減するのに役立ちます。
アプリケーション レイヤ フィルタリング
最も高度なレベルのファイアウォール トラフィック インスペクションは、アプリケーション レベルのフィルタリングです。適切なアプリケーション フィルタでは、特定のアプリケーションのデータ ストリームを分析でき、アプリケーション固有の処理を提供します。この処理は、ファイアウォールを通過するときにデータの検査、スクリーニングまたはブロッキング、リダイレクト、および修正を含みます。このメカニズムは、安全でない SMTP コマンド、または内部ドメイン ネーム システム (DNS) サーバーに対する攻撃などの防御に使用されます。一般的に、ウイルス検出、字句解析、およびサイト分類などのコンテンツ スクリーニング用のサード パーティ製ツールを、ファイアウォールに追加することができます。
アプリケーション レイヤ ファイアウォールには、それを通過するトラフィックに基づいて、多くの異なるプロトコルを検査する機能があります。インターネット トラフィック (HTTP、FTP Download、SSL など) を通常検査するプロキシ ファイアウォールとは異なり、アプリケーション レイヤ ファイアウォールは、トラフィックがファイアウォールを通過する方法を、非常にきめ細かく制御できます。たとえば、アプリケーション レイヤ ファイアウォールでは、ファイアウォールの境界内から発信された UDP トラフィックだけに通過を許可することができます。インターネット ホストがステートフル ファイアウォールをポート スキャンして、その環境への DNS トラフィックが許可されるかどうかを調べる場合、ポート スキャンはおそらく、DNS に関連付けられた既知のポートが開かれていることを示します。しかし、いったん攻撃が展開されると、ステートフル ファイアウォールは要求が内部から発信されたものではないため、これを拒否します。アプリケーション レイヤ ファイアウォールは、トラフィックが内部から発信されたかどうかに基づいて、ポートを動的に開きます。
アプリケーション レイヤ ファイアウォール機能は、IP 偽装、DoS、一部のアプリケーション レイヤ攻撃、ネットワーク偵察、およびウイルスまたはトロイの木馬による攻撃のリスクを軽減するのに役立ちます。アプリケーション レイヤ ファイアウォールの短所は、非常に大きい処理能力を必要とするという点でプロキシと同様です。また、ステートフルまたは静的フィルタリング ファイアウォールよりも、トラフィックの通過が非常に遅くなるのが普通です。アプリケーション レイヤ ファイアウォールを使用する場合の最重要事項は、ファイアウォールがアプリケーション レイヤで何を実行できるかを特定することです。
アプリケーション レイヤ フィルタリングは、一般に開放されているサービスを保護する目的で広く使用されています。組織にオンライン ストアがあり、クレジット カード情報およびその他の顧客の個人情報を収集する場合、万全を期して情報の保護に最高レベルの対策を講じる必要があります。アプリケーション レイヤ フィルタリングを使用すれば、ポート上で適切なトラフィックだけを通過させることができます。パケット フィルタまたはステートフル インスペクション ファイアウォールは、単にポートと送信元および送信先 IP アドレスを検査するだけですが、アプリケーション レイヤ フィルタリング機能をサポートするファイアウォールは、通信で使用されるデータとコマンドの両方を検査できます。
アプリケーション レイヤ機能をサポートするファイアウォールのほとんどは、プロキシ認識されるメッセージング サービス、HTTP、および FTP などのクリア テキスト トラフィックに対するアプリケーション レイヤ フィルタリングだけを備えています。この機能をサポートするファイアウォールはその環境を出入りするトラフィックを管理できることに留意することが大切です。この機能には、DNS トラフィックがファイアウォールを通過するときにそれを検査して DNS 固有のコマンドを探すことができるという長所もあります。この追加の保護レイヤにより、ユーザーまたは攻撃者は許可されるタイプのトラフィック内に情報を隠すことができません。
ファイアウォールのクラス
このセクションでは、それぞれが特定の機能を提供する多数のファイアウォール クラスを示します。IT アーキテクチャ設計の特定の要件に応じて、特定のファイアウォール クラスを使用できます。
ファイアウォールをクラスに分けることでサービスのニーズからハードウェアを分離できます。これにより、そのサービス要件をクラスの機能と照合させることができます。あるファイアウォールが特定のクラスに当てはまっていれば、そのクラスのすべてのサービスをサポートしていると考えることができます。
次のようなさまざまなクラスがあります。
クラス 1 - パーソナル ファイアウォール
クラス 2 - ルーター ファイアウォール
クラス 3 - 下位ハードウェア ファイアウォール
クラス 4 - 上位ハードウェア ファイアウォール
クラス 5 - 上位サーバー ファイアウォール
これらのクラスは一部重なっていることを理解することが重要です。これは設計によって異なり、重なっている部分は、あるタイプのファイアウォール ソリューションが複数のクラスにまたがっていることを示します。多くのクラスは、同一ベンダの複数のハードウェア モデルで提供されていることもあります。これは、現在および将来的な要件に最も適したモデルを組織が選択できるようにするためです。ファイアウォール製品は価格と機能以外に、性能 (またはスループット) に基づいて分類できます。しかし、多くの製造元はファイアウォールのスループットの数字を公表していません。公表されているもの (主にハードウェア ファイアウォール デバイス) もありますが、標準的な測定処理に従っていないため、製造元の間の比較は困難です。たとえば、ある測定値はビット/秒 (bps) ですが、実際にはファイアウォールは IP パケットを通すため、レートの測定で使用されたパケット サイズが含まれていない場合、この測定は意味がありません。
次のセクションでは、各ファイアウォール クラスを詳細に定義します。
クラス 1 - パーソナル ファイアウォール
パーソナル ファイアウォールは、パーソナル コンピュータにシンプルなファイアウォール機能を提供するソフトウェア サービスとして定義されます。ダイヤルアップ接続が減ってインターネット常時接続が増えてきたのに伴い、パーソナル ファイアウォールも普及してきました。
パーソナル ファイアウォールは、1 台のコンピュータを保護するために設計されていますが、それがインストールされているコンピュータがそのインターネット接続を内部ネットワーク上の他のコンピュータと共有する場合は、小規模のネットワークを保護することもできます。ただし、パーソナル ファイアウォール ソフトウェアのパフォーマンスには限界があり、それがインストールされているパーソナル コンピュータのパフォーマンスは低下します。保護メカニズムは、通常 IP およびポート アドレスのブロックに限られるため、専用のファイアウォール ソリューションほど効果的でないのが普通です。しかし、一般的にパーソナル コンピュータで必要な保護のレベルは高くありません。
パーソナル ファイアウォールは、オペレーティング システムに付属しているか、非常に低コストで提供されます。このファイアウォールはパフォーマンスと機能が限定されているため、想定した目的には合っていたとしても、小規模のサテライト オフィスであれ、企業での使用を考慮すべきではありません。ただし、ラップトップ コンピュータを使用するモバイル ユーザーには特に適しています。
次の表は、パーソナル ファイアウォールが備えている機能を示したものです。パーソナル ファイアウォールの機能と価格には大きな幅があります。しかし、特にラップトップでは、特定の機能がなくてもそれほど重要ではない場合があります。
表 1: クラス 1 - パーソナル ファイアウォール
ファイアウォール属性 | 値 |
---|---|
サポートされている基本機能 | ほとんどのパーソナル ファイアウォールは、静的パケット フィルタ、NAT、およびステートフル インスペクションをサポートしていますが、回線レベルのインスペクションやアプリケーション レイヤ フィルタリングをサポートしているのは一部だけです。 |
構成 | 自動 (手動オプションも使用可能) |
IP アドレスの阻止または許可 | 使用可 |
プロトコルまたはポート番号の阻止または許可 | 使用可 |
着信 ICMP メッセージの阻止または許可 | 使用可 |
発信アクセスの制御 | 使用可 |
アプリケーションの保護 | おおむね可能 |
音声または画面による警告 | おおむね可能 |
ログ ファイルへの攻撃状況の記録 | おおむね可能 |
リアルタイム警告 | 製品による |
VPN サポート | 通常は不可 |
リモート管理 | 通常は不可 |
製造元によるサポート | 製品ごとに大幅に異なる |
高可用性オプションの有無 | 使用不可 |
同時に確立可能なセッション数 | 1 ~ 10 |
モジュールのアップグレード性 (ハードウェアまたはソフトウェア) | なし、または限定的 |
価格帯 | 低 (一部は無料) |
ファイアウォール属性 | 値 |
---|---|
サポートされている基本機能 | 大半のルーター ファイアウォールは、静的パケット フィルタリング機能をサポートしています。下位ルーターは、一般的に NAT をサポートしています。上位ルーターには、ステートフル インスペクションやアプリケーション レイヤ フィルタリングをサポートしているものもあります。 |
構成 | 下位ルーターは一般に自動 (手動オプションあり)。上位ルーターは一般に手動。 |
IP アドレスの阻止または許可 | 使用可 |
プロトコル/ポート番号の阻止または許可 | 使用可 |
着信 ICMP メッセージの阻止または許可 | 使用可 |
発信アクセスの制御 | 使用可 |
アプリケーションの保護 | おおむね可能 |
音声または画面による警告 | おおむね可能 |
ログ ファイルへの攻撃状況の記録 | 多くの場合可能 |
リアルタイム警告 | 多くの場合可能 |
VPN のサポート | 下位ルーターでは一般にサポートしていますが、上位ルーターでは一般的にサポートしていません。VPN 処理専用の機器またはサーバーも使用することができます。 |
リモート管理 | 使用可 |
製造元によるサポート | 下位ルーターでは一般に限定的、上位ルーターの場合は充実しています。 |
高可用性オプションの有無 | 下位機種: なし 上位機種: あり |
同時に確立可能なセッション数 | 10 – 1,000 |
モジュールのアップグレード性 (ハードウェアまたはソフトウェア) | 下位機種: なし 上位機種: 限定的 |
価格帯 | 低~高 |
ファイアウォール属性 | 値 |
---|---|
サポートされている基本機能 | ほとんどの下位ハードウェア ファイアウォールは、静的パケット フィルタリング機能および NAT をサポートしています。また、ステートフル インスペクションやアプリケーション レイヤ フィルタリング機能をサポートしている場合もあります。 |
構成 | 自動 (手動オプションも使用可能) |
IP アドレスの阻止または許可 | 使用可 |
プロトコル/ポート番号の阻止または許可 | 使用可 |
着信 ICMP メッセージの阻止または許可 | 使用可 |
発信アクセスの制御 | 使用可 |
アプリケーションの保護 | 通常はなし |
音声または画面による警告 | 通常はなし |
ログ ファイルへの攻撃状況の記録 | 通常はなし |
リアルタイム警告 | 通常はなし |
VPN のサポート | 製品ごとに異なる |
リモート管理 | 使用可 |
製造元によるサポート | 限定的 |
高可用性オプションの有無 | 通常はなし |
同時に確立可能なセッション数 | > 10–7500 |
モジュールのアップグレード性 (ハードウェアまたはソフトウェア) | 限定的 |
価格帯 | 低 |
ファイアウォール属性 | 値 |
---|---|
サポートされている基本機能 | 大半の上位ハードウェア ファイアウォールは、静的パケット フィルタリング機能と NAT 機能をサポートしています。また、ステートフル インスペクションやアプリケーション レイヤ フィルタリングをサポートしているものもあります。 |
構成 | 通常は手動 |
IP アドレスの阻止または許可 | 使用可 |
プロトコル/ポート番号の阻止または許可 | 使用可 |
着信 ICMP メッセージの阻止または許可 | 使用可 |
発信アクセスの制御 | 使用可 |
アプリケーションの保護 | 製品による |
音声または画面による警告 | 使用可 |
ログ ファイルへの攻撃状況の記録 | 使用可 |
リアルタイム警告 | 使用可 |
VPN サポート | 製品による |
リモート管理 | 使用可 |
製造元によるサポート | 充実している |
高可用性オプションの有無 | 使用可 |
同時に確立可能なセッション数 | > 7500–500,000 |
モジュールのアップグレード性 (ハードウェアまたはソフトウェア) | 使用可 |
価格帯 | 高 |
ファイアウォール属性 | 値 |
---|---|
サポートされている機能 | 大半の上位サーバー ファイアウォールは、静的パケット フィルタリング機能と NAT 機能をサポートしています。さらに、ステートフル インスペクションまたはアプリケーション レイヤ フィルタリング、またはその両方がサポートされる場合もあります。 |
構成 | 通常は手動 |
IP アドレスの阻止または許可 | 使用可 |
プロトコル/ポート番号の阻止または許可 | 使用可 |
着信 ICMP メッセージの阻止または許可 | 使用可 |
発信アクセスの制御 | 使用可 |
アプリケーションの保護 | 製品による |
音声または画面による警告 | 使用可 |
ログ ファイルへの攻撃状況の記録 | 使用可 |
リアルタイム警告 | 使用可 |
VPN サポート | 製品による |
リモート管理 | 使用可 |
製造元によるサポート | 充実している |
高可用性オプションの有無 | 使用可 |
同時に確立可能なセッション数 | 50,000 以上 (複数のネットワーク セグメントにわたる数) |
モジュールのアップグレード性 (ハードウェアまたはソフトウェア) | 使用可 |
その他 | 一般的に使用されるオペレーティング システム |
価格帯 | 高 |
検討事項 | この役割で導入されるファイアウォールの通常の特性 |
---|---|
セキュリティ管理者により指定される必須のファイアウォール機能 | これは、要求されるセキュリティの程度と、機能のコスト、およびセキュリティの強化が原因となるパフォーマンスの低下とのバランスです。多くの組織が、境界ファイアウォールに対して最大限のセキュリティを期待しますが、パフォーマンスへの悪影響を避けたいと考える組織もあります。たとえば、電子商取引を伴わない大規模な Web サイトでは、アプリケーション レイヤ フィルタリングの代わりに静的パケット フィルタを使用することで得られる高レベルのスループットを重視し、低レベルのセキュリティを許可する場合があります。 |
デバイスを専用の物理デバイスにしてその他の機能を提供するか、または物理デバイス上の論理ファイアウォールにするかについての選択 | これは、求められる性能、データの機密度、および境界領域からアクセスする頻度によって左右されます。 |
組織の管理体系により指定されるデバイスに対する管理性要件 | 通常、何らかの形式のログ記録が使用されますが、イベント監視のメカニズムもしばしば要求されます。悪意のあるユーザーがファイアウォール機器をリモート制御できないように、リモート管理を無効にする場合もあります。 |
組織内のネットワークおよびサービスの管理者により決定されるスループット要件 | これは環境によってさまざまですが、デバイスまたはサーバー内のハードウェアの能力、および使用するファイアウォール機能により、ネットワーク全体で使用可能なスループットは決定されます。 |
可用性要件 | 可用性要件は、Web サーバーに対するアクセス要件によって異なります。Web サーバーの主目的が情報要求の処理であり、その要求が Web ページの表示によって満たされる場合、内部ネットワークへの流れは少なくなります。ただし、E コマースの場合は高い可用性が必要とされます。 |