図解サイバー攻撃 [Cyber Attack dot Net]

図解サイバー攻撃。サイバー攻撃・サイバーテロや情報漏洩などのサイバーセキュリティインシデントについて詳しくイラストで解説。

図解サイバーセキュリティ用語

Firewall(ファイアウォール)とは、パケットフィルタリングとアプリケーションゲートウェイ

投稿日:2017年4月2日 更新日:

Firewall(ファイアウォール)は日本語だと防火壁の事で、火の侵入を防いで火事が拡大することを防ぐ壁の事を言います。コンピュータの世界ではFirewall(ファイアウォール)は外部の不正な通信や攻撃から大切な情報資産を守るためのシステムの事を言います。

Firewall(ファイアウォール)の仕組み

例えば、攻撃者がある不正な通信コマンドを実行して企業内部のネットワークに不正アクセスを試みたとしても、Firewall(ファイアウォール)が許可していない通信であれば、その通信はFirwall(ファイアウォール)によってブロックされます。一方で、Firewall(ファイアウォール)が外部から内部のWebサーバに対してはアクセスを許可していれば、その通信は正常にFirewall(ファイアウォール)を通過してWebサーバから情報を取得することができます。

Firewallには2種類あります。パケットフィルタリング型とアプリケーションゲートウェイ型です。

パケットフィルタリング型の概要

パケットフィルタリング型はパケットのIPヘッダを検査してIPアドレスとポート番号を基にパケットの通信可否を判断します。つまり、パケットフィルタリング型のFirewall(ファイアウォール)はネットワーク層で通信を処理することになります。

Firewall(ファイアウォール)パケットフィルタリング型の説明

パケットフィルタリングの欠点

パケットフィルタリング型のFirewall(ファイアウォール)は設定が非常に簡単ですが、欠点もあります。それは通信の戻りトラフィックに対する処置です。例えば、ユーザがあるアプリケーションサーバにFirewall(ファイアウォール)越しにアクセスするとしましょう。その際にユーザのクライアントは送信元ポートとして3333を利用し、アプリケーションサーバはサービスポートとして2222を利用しています。Firewall(ファイアウォール)では事前の設定で外部のAnyからアプリケーションサーバの2222に対しては通信許可としていますので、ユーザは何の問題もなくアプリケーションサーバにアクセスすることができます。しかし、アプリケーションサーバがユーザのクライアントにデータを返す際にポート3333に対して通信を行う必要がありますが、Firewall(ファイアウォール)はそのポート番号の利用を許可していません。よって、アプリケーションサーバからデータを回答することができなくなります。

Firewall(ファイアウォール)パケットフィルタリングの弱点

ステートフルインスペクション

そこで登場したのが、ステートフルインスペクションという機能です。ステートフルインスペクションではFirewall(ファイアウォール)が処理したデータをセッションログとして保存しておき、次の処理や返し(戻り)の通信の場合はその通信に矛盾がないかを検査して通信の可否を判断します。

Firewall(ファイアウォール)ステートフルインスペクションの説明

アプリケーションゲートウェイ型の概要

アプリケーションゲートウェイ型のFirewall(ファイアウォール)はプロキシとして動作しますので、クライアントとセッションを張り、一方でクライアントの接続先のサーバともセッションを張り、クライアントとサーバの通信の処理を中間で代理で行います。

Firewall(ファイアウォール)アプリケーションゲートウェア型

アプリケーションゲートウェイ型のFirewall(ファイアウォール)はアプリケーション層で通信の処理を行いますので、アプリケーションレベルのデータを読み込んで検査を行う事ができます。

Firewall(ファイアウォール)アプリケーションゲートウェイ型

アプリケーションゲートウェイ型のFirewall(ファイアウォール)として頻繁に利用されるのはWAF(ウェブアプリケーションファイアウォール)です。WAFはウェブサーバへの通信(HTTP)を検査して、不正なコマンドを監視・ブロックすることができます。WAFの詳細はこちらを参照ください。

広告

広告

-図解サイバーセキュリティ用語

関連記事

職務分掌・職務分離とは?

職務分掌とは部署や役職ごとに必要な責任や権限を明確にして定義する事を言います。職務分掌と似たような言葉に職務分離があります。ほぼ同じ意味ですが、職務分掌は人事要素が強い一方で職務分離にはコンプライアン …

ビジネスメール詐欺(BEC)とは? 図解サイバーセキュリティ用語 

IPAが偽口座への送金を促すビジネスメール詐欺への注意喚起を行っています。ビジネスメール詐欺はBECとも言われており、BECはBusiness Email Compromiseの略です。このビジネスメ …

サイバーインテリジェンス(Cyber Intelligence) 図解サイバーセキュリティ用語

インテリジェンスを日本語で訳すのは難しいですが、諜報活動から得られる情報と訳す事ができます。ただしこれは戦争や政治の世界で使われる意味で、サイバーセキュリティでのインテリジェンスの意味は少し違ってきま …

CISO(最高情報セキュリティ責任者)とは?

CISOとはChief Information Security Officerの略で、最高情報セキュリティ責任者の事を言います。CISOは一般的に執行役員レベルのポジションで企業の情報セキュリティに …

UTM(Unified Threat Managemen)とは 図解サイバーセキュリティ用語

UTMとは複数のセキュリティ対策を1つのアプライアンスに集約することで、総合的にかつ統合的にセキュリティ対策を行うコンセプトの事を言います。もしくはそのようなアプライアンスの事を指します。 UTMに集 …