図解サイバー攻撃 [Cyber Attack dot Net]

図解サイバー攻撃。サイバー攻撃・サイバーテロや情報漏洩などのサイバーセキュリティインシデントについて詳しくイラストで解説。

図解サイバーセキュリティ用語

Firewall(ファイアウォール)とは、パケットフィルタリングとアプリケーションゲートウェイ

投稿日:2017年4月2日 更新日:

Firewall(ファイアウォール)は日本語だと防火壁の事で、火の侵入を防いで火事が拡大することを防ぐ壁の事を言います。コンピュータの世界ではFirewall(ファイアウォール)は外部の不正な通信や攻撃から大切な情報資産を守るためのシステムの事を言います。

Firewall(ファイアウォール)の仕組み

例えば、攻撃者がある不正な通信コマンドを実行して企業内部のネットワークに不正アクセスを試みたとしても、Firewall(ファイアウォール)が許可していない通信であれば、その通信はFirwall(ファイアウォール)によってブロックされます。一方で、Firewall(ファイアウォール)が外部から内部のWebサーバに対してはアクセスを許可していれば、その通信は正常にFirewall(ファイアウォール)を通過してWebサーバから情報を取得することができます。

Firewallには2種類あります。パケットフィルタリング型とアプリケーションゲートウェイ型です。

パケットフィルタリング型の概要

パケットフィルタリング型はパケットのIPヘッダを検査してIPアドレスとポート番号を基にパケットの通信可否を判断します。つまり、パケットフィルタリング型のFirewall(ファイアウォール)はネットワーク層で通信を処理することになります。

Firewall(ファイアウォール)パケットフィルタリング型の説明

パケットフィルタリングの欠点

パケットフィルタリング型のFirewall(ファイアウォール)は設定が非常に簡単ですが、欠点もあります。それは通信の戻りトラフィックに対する処置です。例えば、ユーザがあるアプリケーションサーバにFirewall(ファイアウォール)越しにアクセスするとしましょう。その際にユーザのクライアントは送信元ポートとして3333を利用し、アプリケーションサーバはサービスポートとして2222を利用しています。Firewall(ファイアウォール)では事前の設定で外部のAnyからアプリケーションサーバの2222に対しては通信許可としていますので、ユーザは何の問題もなくアプリケーションサーバにアクセスすることができます。しかし、アプリケーションサーバがユーザのクライアントにデータを返す際にポート3333に対して通信を行う必要がありますが、Firewall(ファイアウォール)はそのポート番号の利用を許可していません。よって、アプリケーションサーバからデータを回答することができなくなります。

Firewall(ファイアウォール)パケットフィルタリングの弱点

ステートフルインスペクション

そこで登場したのが、ステートフルインスペクションという機能です。ステートフルインスペクションではFirewall(ファイアウォール)が処理したデータをセッションログとして保存しておき、次の処理や返し(戻り)の通信の場合はその通信に矛盾がないかを検査して通信の可否を判断します。

Firewall(ファイアウォール)ステートフルインスペクションの説明

アプリケーションゲートウェイ型の概要

アプリケーションゲートウェイ型のFirewall(ファイアウォール)はプロキシとして動作しますので、クライアントとセッションを張り、一方でクライアントの接続先のサーバともセッションを張り、クライアントとサーバの通信の処理を中間で代理で行います。

Firewall(ファイアウォール)アプリケーションゲートウェア型

アプリケーションゲートウェイ型のFirewall(ファイアウォール)はアプリケーション層で通信の処理を行いますので、アプリケーションレベルのデータを読み込んで検査を行う事ができます。

Firewall(ファイアウォール)アプリケーションゲートウェイ型

アプリケーションゲートウェイ型のFirewall(ファイアウォール)として頻繁に利用されるのはWAF(ウェブアプリケーションファイアウォール)です。WAFはウェブサーバへの通信(HTTP)を検査して、不正なコマンドを監視・ブロックすることができます。WAFの詳細はこちらを参照ください。

広告

広告

-図解サイバーセキュリティ用語

関連記事

ブルートフォース攻撃(総当たり攻撃) 図解サイバーセキュリティ用語

ブルートフォース(brute force)とは「強引な」とか「力ずく」という意味で、ユーザのアカウント・パスワードを入手するため、もしくは暗号を解読するために考えられる全てのパターンを自動的に試す手法 …

PDoS(Permanent Denial of Service)とは?

PDoSとはPermanent Denial of Serviceの略で、サービスを不能にする事以上にハードウェアを破壊する事によって永久にサービスを不能にする事を目的としている攻撃の手法の事を言いま …

SQLインジェクション攻撃とは

SQLインジェクション(SQL Injection)とは、アプリケーション(特にWebアプリケーション)がユーザ等からの入力値を適切にエスケープしないままその入力値をSQLコマンドとして実行する事で、 …

ビジネスメール詐欺(BEC)とは? 図解サイバーセキュリティ用語 

IPAが偽口座への送金を促すビジネスメール詐欺への注意喚起を行っています。ビジネスメール詐欺はBECとも言われており、BECはBusiness Email Compromiseの略です。このビジネスメ …

柳条湖事件 9月18日に中国からサイバー攻撃を受ける理由

毎年9月18日の1週間前になると、様々な機関から「9月18日前後に中国からサイバー攻撃がある可能性がありますので注意してください」という通達がありますよね。実際に9月18日に中国からのサイバー攻撃によ …