ファイアーウォール
出典: フリー百科事典『ウィキペディア(Wikipedia)』
ファイアウォール(防火壁)とは、ある特定のコンピュータネットワークとその外部との通信を制御し、内部のコンピュータネットワークの安全を維持することを目的としたソフトウェア、あるいはそのソフトウェアを搭載したハードウェアである。英語で防火壁と表現するのは、外部から内部のコンピュータネットワークへ侵入しようとするクラッキング行為を、火事に喩えたものである。
ファイアウォールは、その動作するプロトコル階層によって細かく分類される。
目次 |
[編集] パケットフィルタ型
レイヤ3・4のネットワーク層やトランスポート層に相当するIPからTCP、UDP層の条件で、通信の許可/不許可を判断するもの。狭義でのファイアウォールとは、このタイプのものを指す。このタイプはさらに、スタティックなものとダイナミックなものとに分類できる。
なお、レイヤ4ヘッダも参照するが、主としてレイヤ3で判断動作する。すなわち、TCP/UDPのセッション単位で管理する訳ではない(ただし、ステートフルパケットインスペクション型ではTCP/UDPセッションの一部も記憶して判断動作する。)
[編集] スタティックなパケットフィルタ
IP通信において、宛先や送信元のIPアドレス、ポート番号などを監視し、あらかじめ設定した条件によって、その通信を受け入れる(ACCEPT)、廃棄する(DROP)、拒否する(REJECT)などの動作を行うことで、通信を制御する。具体的には、外部から内部へ向かうパケットを選別して特定のサービスのみを通す、また内部から外部へ向かうパケットも、セキュリティホールになりかねないため、代表的なサービス以外は極力遮断する、といった設定が行われることが多い。仕組みが単純なため高速に動作するが、設定に手間がかかる、防ぎきれない攻撃があるなどの問題点がある。
[編集] ダイナミックなパケットフィルタ
IPパケットの内容に応じて、宛先や送信元のIPアドレス、ポート番号などの、接続や遮断といった動作のための条件を動的に変化させ、通信制御を行おうというもの。例えば、スタティックなパケットフィルタでは、内部と外部で双方向の通信を行う場合は、内部から外部へ向かうパケットと、外部から内部へ向かうパケットの双方を許可しなければならないが、ダイナミックなパケットフィルタの場合は、内部から外部の通信を許可するだけで、その通信への応答に関してのみ、外部からの通信を受け入れる、といった動作を自動的に行ってくれる。
[編集] ステートフルパケットインスペクション
あるいはステートフルインスペクション(Stateful Packet Inspection、SPI)。ダイナミックなパケットフィルタリングの一種。レイヤ3のIPパケットが、どのレイヤ4(TCP/UDP)セッションに属するものであるか判断して、正当な手順のTCP/UDPセッションによるものとは判断できないような不正なパケットをはじく。そのため、TCP/UDPセッションの一部情報を記憶して判断動作する。具体例として、ヘッダのSYNやACKフラグのハンドシェイクの状態などを記憶し、不正に送られてきたSYN/ACKパケットを廃棄する。
[編集] サーキットレベルゲートウェイ型
レイヤ3・IPパケットではなく、TCP/IPなどのレイヤ4・トランスポート層のレベルで通信を代替し、制御する。内部のネットワークから外部のネットワークへ接続する場合は、サーキットレベルゲートウェイに対してTCPのコネクションを張ったり、UDPのデータグラムを投げることになる。サーキットレベルゲートウェイは、自らに向けられていたIPアドレスとポート番号を本来のものへと振り替え、自らが外部と通信した結果を返すという動作をする。代表的なソフトウェア実装としてはSOCKSがある。また、ハードウェア実装としてレイヤ4スイッチにもこの機能を持たせる事ができる。
サーキットレベルゲートウェイは、あらかじめ多数のポートを開けたりNATを用意しなくても、プライベートIPアドレスしか持たない内部のネットワークからでも、外部のネットワークへ接続できるという点がメリットである。
[編集] アプリケーションゲートウェイ型
パケットではなく、レイヤ7のHTTP や FTP といった、アプリケーションプロトコルのレベルで外部との通信を代替し、制御するもの。一般的にはプロキシサーバと呼ばれている。アプリケーションゲートウェイ型ファイアウォールの内部のネットワークでは、アプリケーションはアプリケーションゲートウェイ(プロキシサーバ)と通信を行うだけであり、外部との通信はすべてプロキシサーバが代替する。proxyとは、英語で「代理人」を意味する。アプリケーションゲートウェイ型ファイアウォールに守られたネットワークは、プライベートIPアドレスで構築されることが普通である。当然、アプリケーションゲートウェイが用意されていないサービスについては、一切外部とは通信出来ない。安全性は高いが、内部ネットワークのユーザの利便性も下がる。
このため、アプリケーションゲートウェイで許されているプロトコルでトンネリングを行うソフトウェア、例えばSoftEtherやhttptunnelといった、運用方法によってはセキュリティホールになりうる実装の利用を、かえって促進してしまうという事例も近年目立っている。強すぎるセキュリティポリシーが迂回路を招いてしまっているとも言える。
プロキシは単に中継するだけの物が多いが、レイヤ7ファイアーウォールはアプリケーションの通信の中身も検査する事ができる(例:アクセスURLチェック、ウイルスチェック、情報漏洩検出)。そのため、検査の仕方によってはレイヤ7ファイアーウォールは相当な負荷が掛かり、ファイアーウォールの処理上も、通信上もボトルネックとなることもある。また、未成年に好ましくないコンテンツのみを、末端のユーザにはプロキシサーバの存在を意識させない状態で、自動的にフィルタリングしてしまうといった実装も可能である。
なお、アプリケーションの通信の中身も検査するため、電気通信事業者が自らが仲介する通信の内容に立ち入ってはならない(通信の秘密)と言う原理原則に反する検閲だと批判する向きもある。通信事業に携わる技術者や学者の間ではこういった種類のファイアーウォールを設置するという発想を強く批判する向きもまる。
なお実際に、ISPのぷららがファイル共有ソフトウェアWinnyの通信を全て遮断する事を計画・発表し、それに対して通信の秘密を侵害する可能性があるとして総務省から行政指導を受け、Winny遮断は同ISPユーザの利用者の選択に任せるとした事例もあった。
[編集] 具体的な実装例
上述のパケットフィルタリング型や、サーキットレベルゲートウェイ型ではそれぞれ、レイヤ3スイッチ(ルーター)やレイヤ4スイッチ等のハードウェア機器の一部機能として組み込まれている事も多い。この場合、ある程度簡易な条件でしかパケット検査をできないため、簡易ファイアーウォール、広義のファイアーウォールと呼ぶこともある。レイヤー7ファイアーウォール(L7FW)は通信の内容まで検査するため、L7FWが本来の(狭義の)ファイアーウォールであるとすることもある。
ソフトウェアによる実装としては、UNIXでは伝統的にipfwが使われてきた。カーネルレベルで動作するため大変高速である。Mac OS Xでもipfwが実装されている。(Mac OS Xは次期ヴァージョンMac OS X v.10.5 Leopardからは正式にUNIXである)なお、Linux では iptables、ipchainsといった実装が一般的である。
WindowsではZoneAlarm、ノートン・インターネットセキュリティ、ウイルスバスター、NetOp Desktop Firewall等のフリーウェアないし商用アプリケーションが普及しているが、これらはファイアウォールというよりは、IDSに近い動作をしている。しかし、一般的にファイアウォールという語が防護のイメージを喚起しやすいためか、用語は混乱して使われている。一般的には、パーソナルファイアーウォールと呼ばれる。
また、Windows XPでは、OSの機能として簡易的なファイヤーウォールが標準で搭載されている。(Windows XP SP2ではユーザーが初期設定を行わずに利用できるように改良された)純粋にスタティックなパケットフィルタ型ファイアウォールの実装としては、NEGiESなどがある。
ここ最近においては、統合脅威管理 (UTM)が注目されており、ファイアーウォールにゲートウェイアンチウイルス、不正侵入防御、コンテンツフィルタリング等の機能を追加し、統合的にゲートウェイで脅威から守るというアプローチがファイアーウォールの付加機能として注目を浴びている。
[編集] 主なファイヤーウォール製品
[編集] ソフトウェア型
- phion netfence Connectivity Gateways - phion Information Technologies.
- eConceal Firewall (eConceal)
- Astaro Security Linux
- Trustix Enterprise Firewall
- MCS Firewall
- Check Point VPN-1、Firewall-1
- SC Gauntlet (discontinued, but still in use)
- ipfw
- ipfwadm
- ipchains
- Iptables
- IPFilter (ipf)
- Netfilter/iptables
- PF
- Microsoft Internet Security and Acceleration Server
- WinGate Proxy / NAT Firewall
- PORTUS Application Protection System
- Symantec Client Security
- visonys AirLock
- tetrade secure entry server
- BinarySEC web firewall
[編集] ハードウェア型
- ActionTEC (a DSL Modem packaged by Qwest with new DSL customer orders)
- Arkoon FAST360
- Blue Reef Sonar
- Celestix MSA SeriesCelestix Inc.
- Cisco PIX and Cisco ASA
- Clavister [1]
- CyberGuard
- DataPower
- D-Link
- FortiGate by Fortinet
- Global Technology Associates, Inc.
- NetASQ
- Juniper NetScreen
- Lightning MultiCom VPN Firewall - [2]
- Lucent VPN Firewall - [3]
- Nortel Stand-alone and Switched Firewall - [4]
- PORTUS-APS Appliance
- PresiNET VPN/Network Visibility
- Sarvega
- Sidewinder and Sidewinder G2
- Securepoint
- SofaWare Technologies
- SonicWall
- Symantec Gateway Security
- Watchguard
- MultiTech Systems - RouteFinder
- VSR - バリオセキュア・ネットワークス
[編集] その他フリーウェアなど
- Endian Firewall (GPL)
- IPCop (GPL)
- m0n0wall (BSD-style license)
- pfSense (BSD-style license) (m0n0wall fork)
- Devil-Linux (GPL)
- SmoothWall Express (GPL)
- eBox Platform (GPL)
- BrazilFW Firewall and Router (GPL) - Formerly Coyote Linux - This runs from a floppy disk or hard disk, and is configured through a Windows or Linux program.
