図解サイバー攻撃 [Cyber Attack dot Net]

図解サイバー攻撃。サイバー攻撃・サイバーテロや情報漏洩などのサイバーセキュリティインシデントについて詳しくイラストで解説。

図解サイバーセキュリティ用語

Firewall(ファイアウォール)とは、パケットフィルタリングとアプリケーションゲートウェイ

投稿日:2017年4月2日 更新日:

Firewall(ファイアウォール)は日本語だと防火壁の事で、火の侵入を防いで火事が拡大することを防ぐ壁の事を言います。コンピュータの世界ではFirewall(ファイアウォール)は外部の不正な通信や攻撃から大切な情報資産を守るためのシステムの事を言います。

Firewall(ファイアウォール)の仕組み

例えば、攻撃者がある不正な通信コマンドを実行して企業内部のネットワークに不正アクセスを試みたとしても、Firewall(ファイアウォール)が許可していない通信であれば、その通信はFirwall(ファイアウォール)によってブロックされます。一方で、Firewall(ファイアウォール)が外部から内部のWebサーバに対してはアクセスを許可していれば、その通信は正常にFirewall(ファイアウォール)を通過してWebサーバから情報を取得することができます。

Firewallには2種類あります。パケットフィルタリング型とアプリケーションゲートウェイ型です。

パケットフィルタリング型の概要

パケットフィルタリング型はパケットのIPヘッダを検査してIPアドレスとポート番号を基にパケットの通信可否を判断します。つまり、パケットフィルタリング型のFirewall(ファイアウォール)はネットワーク層で通信を処理することになります。

Firewall(ファイアウォール)パケットフィルタリング型の説明

パケットフィルタリングの欠点

パケットフィルタリング型のFirewall(ファイアウォール)は設定が非常に簡単ですが、欠点もあります。それは通信の戻りトラフィックに対する処置です。例えば、ユーザがあるアプリケーションサーバにFirewall(ファイアウォール)越しにアクセスするとしましょう。その際にユーザのクライアントは送信元ポートとして3333を利用し、アプリケーションサーバはサービスポートとして2222を利用しています。Firewall(ファイアウォール)では事前の設定で外部のAnyからアプリケーションサーバの2222に対しては通信許可としていますので、ユーザは何の問題もなくアプリケーションサーバにアクセスすることができます。しかし、アプリケーションサーバがユーザのクライアントにデータを返す際にポート3333に対して通信を行う必要がありますが、Firewall(ファイアウォール)はそのポート番号の利用を許可していません。よって、アプリケーションサーバからデータを回答することができなくなります。

Firewall(ファイアウォール)パケットフィルタリングの弱点

ステートフルインスペクション

そこで登場したのが、ステートフルインスペクションという機能です。ステートフルインスペクションではFirewall(ファイアウォール)が処理したデータをセッションログとして保存しておき、次の処理や返し(戻り)の通信の場合はその通信に矛盾がないかを検査して通信の可否を判断します。

Firewall(ファイアウォール)ステートフルインスペクションの説明

アプリケーションゲートウェイ型の概要

アプリケーションゲートウェイ型のFirewall(ファイアウォール)はプロキシとして動作しますので、クライアントとセッションを張り、一方でクライアントの接続先のサーバともセッションを張り、クライアントとサーバの通信の処理を中間で代理で行います。

Firewall(ファイアウォール)アプリケーションゲートウェア型

アプリケーションゲートウェイ型のFirewall(ファイアウォール)はアプリケーション層で通信の処理を行いますので、アプリケーションレベルのデータを読み込んで検査を行う事ができます。

Firewall(ファイアウォール)アプリケーションゲートウェイ型

アプリケーションゲートウェイ型のFirewall(ファイアウォール)として頻繁に利用されるのはWAF(ウェブアプリケーションファイアウォール)です。WAFはウェブサーバへの通信(HTTP)を検査して、不正なコマンドを監視・ブロックすることができます。WAFの詳細はこちらを参照ください。

広告

広告

-図解サイバーセキュリティ用語

関連記事

図解:共通鍵暗号方式と公開鍵暗号方式

共通鍵暗号方式 共通鍵暗号方式は、暗号化する鍵と復号する鍵に同じ鍵を使います。つまり、データを暗号化するユーザと暗号化したデータを受け取って復号するユーザは同じ共通鍵を持っている必要があります。 共通 …

短縮URLとセキュリティ問題

短縮URLとはオリジナルのURLにリダイレクトするように設定された文字数が短いURLの事を言います。例えば、https://www.cyber-attack.net/cyber-security-di …

職務分掌・職務分離とは?

職務分掌とは部署や役職ごとに必要な責任や権限を明確にして定義する事を言います。職務分掌と似たような言葉に職務分離があります。ほぼ同じ意味ですが、職務分掌は人事要素が強い一方で職務分離にはコンプライアン …

ワンクリック詐欺は無視する事が一番良い

ワンクリック詐欺とは、WebサイトにアクセスするとそのWebページに「申し込み完了」のような言葉と数万円ほどの「利用料金」を表示して、あたかもユーザがサービスの契約を終えてサービスを利用しているかのよ …

バックドア(backdoor)とは? 図解サイバーセキュリティ用語

バックドア(backdoor)は日本語では「裏口」という意味がありますが、セキュリティ用語では不正に仕込まれたトロイの木馬などのマルウェアの事で、C2サーバ経由で外部の攻撃者のコマンドを受け入れてパソ …