内部ファイアウォールの設計

公開日: 2004年9月7日

トピック

モジュールの内容
目的
適用対象
モジュールの使用方法
設計ガイドライン
システムに対する攻撃と防御
デバイスの定義
ファイアウォールの機能
ファイアウォールのクラス
クラス 1 - パーソナル ファイアウォール
クラス 2 - ルーター ファイアウォール
クラス 3 - 下位ハードウェア ファイアウォール
クラス 4 - 上位ハードウェア ファイアウォール
クラス 5 - 上位サーバー ファイアウォール
ハードウェア要件
可用性
セキュリティ
スケーラビリティ
統合
標準およびガイドライン
要約
参照情報

モジュールの内容

このモジュールは、組織の内部ネットワークに適したファイアウォール製品の選択に役立つ情報を提供します。ここでは、使用可能なファイアウォールの様々なクラスを示し、その主な機能について説明します。このモジュールはまた、独自の要件を決定するためのガイドとして使用できます。ここで説明する内容は、最適な製品を選択するときに役立ちます。

ページのトップへ

目的

このモジュールの目的は次のとおりです。

  • 内部ファイアウォールに必要な機能を示す。

  • ファイアウォール製品をクラス分けする。

  • 内部ファイアウォールに最適なファイアウォール製品を選定する。

ページのトップへ

適用対象

このモジュールは、次のテクノロジに適用されます。

  • イーサネット/IP ベースのファイアウォール製品

ページのトップへ

モジュールの使用方法

このモジュールでの説明は、TCP/IP プロトコルおよび自社のネットワーク アーキテクチャについての知識があることを前提としています。これらの知識は、内部ファイアウォールを介した通信トラフィックで、何が有効とみなされ、何が無効かを区別するのにも役立ちます。

このモジュールで説明する設計のガイドラインは、拡張性やコストなどの重要事項を考慮したうえでの、ファイアウォールに必要な機能の選択に適用できます。ここでは、ファイアウォールのさまざまなクラスも定義されます。この設計ガイドラインを使用して、要件に適した最適なファイアウォール クラスを選択できます。このモジュールで説明する知識と技術用語に基づいて、ファイアウォールの製造元とその製品について検討したり、要件に対する適合性を評価できます。

ページのトップへ

設計ガイドライン

このモジュールでは、エンタープライズ ネットワークで使用する内部ファイアウォールに関する要件、その要件を満たす機器の種類、およびファイアウォールの導入パターンについて説明します。残念なことに、社内および社外のユーザーによるネットワークへの侵入は、日常的に発生しています。つまり、企業はこのような侵入から社内ネットワークを保護するしくみを確立する必要があります。ファイアウォールはネットワークの保護を提供する一方で、費用がかかり、トラフィック フローの妨げにもなります。このため、できる限りコスト面の効果および効率が高いものを選択する必要があります。

ネットワーク アーキテクチャ

エンタープライズ ネットワーク アーキテクチャ内には、一般的に次の 3 つのゾーンがあります。

  • 外部ネットワーク このネットワークはルーター経由でインターネットに直接接しているため、基本的なネットワーク トラフィックをフィルタリングすることで、最初の保護レイヤを提供する必要があります。ルーターは、境界ファイアウォールを経由して、境界ネットワークにデータを送信します。

  • 境界ネットワーク このネットワークは、DMZ (非武装地帯) またはエッジ ネットワークとも呼ばれ、接続しようとするユーザーを Web サーバーまたは他のサービスにリンクします。次に、Web サーバーは、内部ファイアウォールを経由して内部ネットワークにリンクします。

  • 内部ネットワーク 内部ネットワークは、SQL Server などの内部サーバーおよび内部ユーザーにリンクします。

大企業には、一般に 2 種類のファイアウォール、つまり境界ファイアウォールと内部ファイアウォールが配置されています。これら 2 種類のファイアウォールで実行される処理は似ていますが、重要な違いもあります。境界ファイアウォールの主な目的は、信頼関係のない外部ユーザーに対して制約を課すことです。一方、内部ファイアウォールの主な目的は、外部ユーザーが内部ネットワークにアクセスできないようにすること、および、内部ユーザーが実行できる処理を限定することです。境界ファイアウォール設計の詳細については、「ファイアウォールの設計」を参照してください。

図 1 は、これらのネットワークを示したものです。

図 1: エンタープライズ ネットワーク アーキテクチャ

設計時の検討項目

ファイアウォールは、受信 IP パケットを検査し、ネットワークに侵入しようとしているパケットを検出して遮断します。特定のパケットは既定で不正とみなされ、遮断されます。また、指定したパケットを遮断するようにファイアウォールを構成することもできます。TCP/IP プロトコルは、ハッキングや侵入などの概念がなかった頃に設計されたので、多くの弱点を抱えています。たとえば、TCP/IP 内の通知メカニズムとして設計された ICMP プロトコルは、不正使用を防止するしくみを備えていないため、サービス拒否 (DoS) 攻撃などの問題を引き起こすおそれがあります。内部ファイアウォールには、境界ファイアウォールよりも厳しい条件が求められます。これは、内部トラフィックの正しい送信先は内部ネットワーク上の任意のサーバーである可能性があるため、内部トラフィック制御の難度が高いからです。

現在さまざまな種類のファイアウォール製品が販売されており、各製品は、価格だけでなく、機能や性能の面でも違いがあります。一般に、高価な製品ほど、性能と機能が優れています。このモジュールでは、ファイアウォールをクラス分けしてその違いを説明しますが、ファイアウォールを選ぶ際には、自社の要件を明確にする必要があります。検討すべき事項は次のとおりです。

  • 予算

  • 既存の設備

  • 可用性

  • スケーラビリティ

  • 必要な機能

予算

どのくらいコストをかけられるかを検討します。ネットワーク上に設置する各ファイアウォールにおいては、サービス レベルを最大限に高めると同時に費用対効果を維持すべきです。ただし、ファイアウォールに対する予算の制約が厳しすぎる場合、業務に支障をきたすおそれがあります。たとえば、DoS 攻撃によってサービスが中断した場合の損失額を検討する必要があります。

既存の設備

既存の設備を活用してコストを節約できるかどうかを検討します。たとえば、環境内には既に、再利用可能なファイアウォールや、ファイアウォール機能を備えたルーターが存在していることがあります。

可用性

ファイアウォールを常時稼動させておく必要があるかどうかを検討します。無停止型の Web サーバー サービスを一般提供している場合、ほぼ 100% の稼動時間を実現する必要があります。どんなファイアウォールでも障害の可能性は常にあるため、その可能性を小さくする必要があります。ファイアウォールの可用性を向上させるには、次の 2 つの方法があります。

  • コンポーネントの冗長化 電源装置など、障害が発生しやすいコンポーネントを二重化させると、1 つ目のコンポーネントに障害が発生しても運用に影響が出ないため、ファイアウォールの障害許容力が向上します。ただし低コストのファイアウォールは一般的に冗長化オプションを備えていません。障害許容力を向上させるにはコストがかかりますが、処理能力は上がりません。

  • デバイスの二重化 ファイアウォール デバイスを二重化させると全体的な障害対応システムが提供されますが、ネットワークの接続と、ファイアウォールを接続するルーターまたはスイッチの接続も二重化していなければならないため、この場合もかなりのコストがかかります。ただし、ファイアウォールのタイプによっては、代わりにスループットが 2 倍になることもあります。理論上は、規模の大小にかかわらずすべてのファイアウォールを二重化できますが、実際はソフトウェア切り替えメカニズムも必要になります。このメカニズムは小規模のファイアウォールには存在しない場合があります。

スケーラビリティ

ファイアウォールのスループット要件を検討する必要があります。スループットは、1 秒間に転送されるビット数と 1 秒間に転送されるパケット数の両面で検討できます。新規事業の場合、スループット レートを把握できないことがありますが、事業が成功を収めた場合、インターネットからのスループットが急速に増加します。したがって、スループット要件の増加に対応できる方法を考える必要があります。この場合、スループット要件の増加に合わせて拡張可能なファイアウォール製品を選定する必要があります。具体的には、部品の増設によってファイアウォールを拡張できるか、または、別のファイアウォールを並列して設置できるか、という点を検討します。

必要な機能

どのファイアウォール機能が必要であるかを検討します。組織内で提供されるサービスに対して実施されるリスク評価に基づいて、そのサービスを提供する資産の保護に必要なファイアウォール機能を決定できます。仮想プライベート ネットワーク (VPN) が必要な場合は、設計に影響があるのでこの点の検討も必要です。

ページのトップへ

システムに対する攻撃と防御

このセクションでは、よく知られたシステム攻撃のいくつかの概要と、最前線の防御としてファイアウォール サービスを使用する理由について説明します。

外部からの攻撃

インターネットは、企業に悪影響を及ぼしたり企業秘密を盗んで競争力を確保したりしようとするときに、道具として悪用されることがよくあります。境界ファイアウォールをインストールして侵入のログを確認すると、その数に驚かされます。これらの侵入の多くは、マシンが応答するか、どのようなサービスが実行されているかということを探ることを目的にしています。これは、一見無害ですが、攻撃者がマシンの存在を発見した場合、次にその弱点を認識してサービスを攻撃する可能性があります。

内部からの攻撃

システムに対する攻撃は、インターネット経由で行われるとはかぎりません。社内ネットワークの内部ユーザーからも、機密情報を保護する必要があります。ほとんどの組織には機密情報があり、従業員だけでなくベンダ、請負業者、顧客などを含む内部ネットワークの特定のユーザーからその情報を保護する必要があります。

侵入の脅威

侵入にはさまざまな方法がありますが、ここでそのすべての形態を説明するには限界があります。それは、新しい侵入方法が毎日のように生まれているからです。サーバーのIP アドレスへの Ping など、一部の攻撃は無害に思えるかもしれません。ただし、ハッカーがサーバーの存在を検出した場合、もっと重大な攻撃を試みる可能性があります。つまり、すべての攻撃は潜在的に有害であると考える必要があります。主な侵入形態は次のとおりです。

  • パケット スニファ スニファとは、LAN に接続され、イーサネット フレームから情報を取得するソフトウェア アプリケーションまたはハードウェア デバイスです。このシステムの本来の目的は、イーサネット トラフィックのトラブルシューティングと分析、またはフレームをより深く掘り下げた個別 IP パケットの調査にあります。スニファは、プロミスカス モードで実行されるため、物理的なワイヤ上のすべてのパケットをリスンします。Telnet などの多くのアプリケーションは、スニファ製品で読むことができるクリア テキストでユーザー名とパスワード情報を送信します。つまり、スニファを所有しているハッカーは多くのアプリケーションにアクセスできます。

    スニファはネットワーク トラフィックを生成しないため、また、スニフィングを行う侵入者の多くは、ファイアウォールの内部にいる社内ユーザーであるため、スニフィングをファイアウォールで防ぐことはできません。無料のスニファ ソフトウェアをインターネットから簡単にダウンロードできるので、社内ユーザーが自分の PC 上でスニファ ソフトウェアを実行し、通過するパケットを調べている可能性があります。社内の PC 上で Microsoft® Windows® オペレーティング システムを実行している場合、ユーザーがスニファを実行するには一般に管理者権限が必要なので、スニフィングを試みるユーザー数が制限されます。ただし、管理者権限を持っているユーザーであればスニファを実行できるため、このようなユーザーが多数存在する可能性があります。このようなユーザーは、機密データにアクセスできるだけでなく、前述のようにクリア テキスト パスワードを知ることができます。すべてのアプリケーションに対して同じパスワードを使用するユーザーが多いので、侵入者はエンコードされたパスワードの値を推測し、さらに先までアクセスすることができます。スニフィングを阻止する手段はいろいろあります。代表的な手段は、まず強力に暗号化されたパスワードを使用することですが、それについてはこのモジュールでは説明しません。

  • IP 偽装 IP 偽装は、IP パケットの送信元アドレスが変更され、送信者の ID が隠されるときに発生します。インターネット内のルーティング処理では、パケットを送信する送信先アドレスだけを使用し、送信元アドレスは無視します。そのため、ハッカーは受信側に送信元を知られずにソースを偽装し、破壊的なパケットをシステムに送信できます。偽装は、必ずしも破壊的とは限りませんが、侵入が間近であるシグナルとなります。アドレスは、侵入者の ID を隠すため、ネットワーク外であることも、特権アクセスができる信頼された内部アドレスの 1 つであることもあります。偽装は、一般的に DoS 攻撃に使用されます。この攻撃については後で説明します。

  • サービス拒否 (DoS) 攻撃 サービス拒否 (DoS) 攻撃は、最も防御が困難な攻撃の 1 つです。この攻撃は、ネットワークに対して永続的な損害を与えることがないという点で、他のタイプの攻撃とは異なります。代わりに、特定のコンピュータ (サーバーまたはネットワーク デバイス) を激しく攻撃したり、ビジネスの損失や顧客の悪感情を招くほど極端なレベルまでネットワーク リンクのスループットを低下させたりすることによって、ネットワークの機能を停止させようとします。分散 DoS (DDoS) 攻撃では、あるシステムに的を絞った攻撃が、他の多数のコンピュータから開始されます。攻撃を行うコンピュータは意図的に攻撃を行っているのではなく、そのセキュリティ上の脆弱性から他のコンピュータへの侵入が可能になってしまう場合があります。

  • アプリケーション レイヤ攻撃 アプリケーション レイヤ攻撃は、最近広く知られるようになった攻撃で、通常は Web サーバーやデータベース サーバーなどのアプリケーションの既知の弱点を使用します。特に Web サーバーの場合、問題なのは身元がわからず信頼もできないパブリック ユーザーからアクセスされるように設計されていることです。ほとんどの攻撃は、製品の既知の弱点を攻撃します。したがって最大の防御策は、製造元から最新の更新をインストールすることです。悪名高い SQL Slammer ワームは、2003 年 1 月に登場し、非常に短期間で 35,000 のシステムに影響を与えました。このワームは、Microsoft SQL Server 2000 の既知の問題を悪用しました。マイクロソフトは 4 か月前の 2002 年 8 月に既に修正プログラムを発行していましたが、多くの管理者は推奨アップデートを適用していませんでした。また、ワームが使用したポートへのパケットを削除できる適切なファイアウォールも配置していないという事実にも付け込まれました。ファイアウォールは、これらの状況ではバックネットに過ぎません。製造元は、特にアプリケーション レイヤ攻撃を避けるために、すべての製品にアップグレードを適用することを推奨しています。

  • ネットワーク偵察 ネットワーク偵察とは、攻撃を開始する前にネットワークをスキャンして有効な IP アドレス、Domain Name System (DNS) 名、および IP ポートを検出することです。ネットワーク偵察それ自体は無害です。ただし、使用されているアドレスを検出できれば、有害な攻撃を仕掛けることができます。実際に、ファイアウォールのログを見ると、ほとんどの侵入はこの性質のものであることがわかります。典型的なプローブには、リスンしている Transport Control Protocol (TCP) および User Datagram Protocol (UDP) ポート、および Microsoft SQL Server、NetBIOS、HTTP、SMTP によって使用されるその他の既知のリスン ポートのスキャンが含まれます。このようなプローブはすべて応答を探します。これは、サーバーが存在し、これらのいずれかのサービスを実行していることをハッカーに通知します。これらのプローブの多くは、境界ルーターまたはファイアウォールによって阻止できますが、多くのサービスをオフにする必要があり、これにより、ネットワーク診断機能が制限される可能性があります。

ページのトップへ

デバイスの定義

ファイアウォールは、2 つのネットワーク間の IP トラフィックの流れを制御するメカニズムです。ファイアウォール デバイスは、通常 OSI モデルの L3 で動作しますが、同様にそれより高いレベルで動作できるものもあります。

内部ファイアウォールで提供される一般的な長所は次のとおりです。

  • 内部サーバーをネットワーク攻撃から守る。

  • ネットワーク使用ポリシーおよびアクセス ポリシーを適用する。

  • トラフィックを監視し、疑わしいパターンが検出されたときに警告を生成する。

重要なのは、ファイアウォールで軽減されるのは特定のタイプのセキュリティ リスクだけであることを認識することです。一般的に、ファイアウォールでは、ソフトウェアの脆弱性が原因でサーバーに損害が発生することを防ぐことはできません。ファイアウォールは、組織の包括的なセキュリティ アーキテクチャの一部として実装してください。

ページのトップへ

ファイアウォールの機能

ファイアウォールがサポートする機能に応じて、トラフィックは、さまざまな技術を使用して許可またはブロックされます。これらの技術は、ファイアウォールの機能に基づいて、さまざまなレベルの保護を提供します。次に、ファイアウォール機能を単純なものから順にリストします。

  • ネットワーク アダプタ入力フィルタ

  • 静的パケット フィルタ

  • ネットワーク アドレス変換 (NAT)

  • ステートフル インスペクション

  • 回線レベル インスペクション

  • アプリケーション レイヤ フィルタリング

複雑な機能を提供するファイアウォールは、より単純な機能もサポートしているのが普通です。しかし、暗黙の機能と実際の機能がわずかに異なる場合があるため、ファイアウォールを選択するときはベンダ情報を注意深く参照する必要があります。ファイアウォールを選択するときは、機能について問い合わせ、それをテストして実際に製品が仕様どおりに動作することを確認する必要があります。

ネットワーク アダプタ入力フィルタ

ネットワーク アダプタ入力フィルタは、着信パケット内の送信元または送信先のアドレスおよびその他の情報を調べ、パケットを阻止するか通過を許可します。これは、着信トラフィックにのみ適用され、発信トラフィックの制御はできません。フィルタは、IP アドレス、UDP および TCP のポート番号、トラフィックのプロトコル、TCP、UDP、および Generic Routing Encapsulation (GRE) を照合します。ネットワーク アダプタ入力フィルタを使用すると、ファイアウォールで設定されたルール条件に適合する標準の着信パケットをすばやく効率的に拒否できます。しかし、この形式のフィルタリングは、IP トラフィックのヘッダーを照合するだけで、フィルタされるトラフィックが IP 標準に従っていること、またフィルタを回避するための細工がされていないことを基本的な前提として動作しているため、簡単に回避ができます。

静的パケット フィルタ

静的パケット フィルタは、単純に IP ヘッダーを照合して、トラフィックのインターフェイス通過を許可するかどうかを決定するという点で、ネットワーク アダプタ入力フィルタと似ています。ただし、静的パケット フィルタは、インターフェイスへの着信通信だけでなく発信も制御できます。また、一般的に、静的パケット フィルタは、IP ヘッダーに肯定 (ACK) ビットが設定されているかどうかをチェックする機能をネットワーク アダプタ フィルタリングに追加できます。ACK ビットは、パケットが新規要求か、元の要求に対する応答要求かを示す情報を与えます。パケットがそれを受信しているインターフェイスによってもともと送信されていることは検証されません。単に IP ヘッダーの規則に基づいて、インターフェイスに着信するトラフィックが応答トラフィックのように見えるかどうかだけがチェックされます。

この技術は、TCP プロトコルだけに適用され、UDP プロトコルには適用されません。ネットワーク アダプタ入力フィルタリングと同様に、静的パケット フィルタリングも非常に高速ですが、その機能は限られているため、特に細工されたトラフィックであればすり抜けることができます。

ネットワーク アドレス変換

世界中の IP アドレスの範囲のうち、特定のアドレスの範囲が "プライベート アドレス" として割り当てられています。これらは、組織内で使用されることが想定され、インターネット上では意味がありません。これらの IP アドレスへのトラフィックは、インターネット経由ではルーティングできません。したがって、プライベート アドレスを組織内のデバイスに割り当てると、侵入からある程度保護されます。しかし、これらの内部デバイスは、インターネットにアクセスする必要があることが多いため、ネットワーク アドレス変換 (NAT) によってプライベート アドレスがインターネット アドレスに変換されます。

NAT は厳密にはファイアウォール技術とはいえませんが、サーバーの本当の IP アドレスを隠すことで、攻撃者がサーバーに関する重要な情報を入手するのを阻止します。

ステートフル インスペクション

ステートフル インスペクションでは、すべての発信トラフィックが状態テーブルに記録されます。接続トラフィックがインターフェイスに返されると、状態テーブルで、このインターフェイスから発信されたトラフィックであることが確認されます。ステートフル インスペクションは、静的パケット フィルタリングよりもわずかに低速です。ただし、発信トラフィックの要求と一致した場合のみトラフィックの通過が許可されることを保証します。状態テーブルには、送信先 IP アドレス、送信元 IP アドレス、呼び出されているポート、および発信元ホストなどのアイテムが含まれています。

ファイアウォールには、より多くの情報 (送受信された IP フラグメントなど) を状態テーブルに格納するものもあります。ファイアウォールは、フラグメント化された情報のすべてまたは一部だけが返されたときにトラフィックが処理されたことを検証できます。ファイアウォールのベンダが異なれば、ステートフル インスペクション機能の実装も異なるため、ファイアウォールのドキュメントを注意深く参照する必要があります。ステートフル インスペクション機能は、一般的に、ネットワーク偵察と IP 偽装によって生じるリスクを軽減するのに役立ちます。

回線レベル インスペクション

回線レベル フィルタリングでは、接続やパケットではなく、セッションを検査できます。セッションは複数の接続を含むことがあります。動的パケット フィルタリングと同様、セッションはユーザー要求に対してのみ確立されます。回線レベル フィルタリングでは、FTP やストリーミング メディアなどの二次接続のプロトコルを組み込みでサポートしています。この機能は、ネットワーク偵察、DoS、IP 偽装の各攻撃によって生じるリスクを軽減するのに役立ちます。

アプリケーション レイヤ フィルタリング

最も高度なレベルのファイアウォール トラフィック インスペクションは、アプリケーション レベルのフィルタリングです。適切なアプリケーション フィルタでは、特定のアプリケーションのデータ ストリームを分析でき、アプリケーション固有の処理を提供します。この処理は、ファイアウォールを通過するときにデータの検査、スクリーニングまたはブロッキング、リダイレクト、および修正を含みます。このメカニズムは、安全でない SMTP コマンド、または内部ドメイン ネーム システム (DNS) サーバーに対する攻撃などの防御に使用されます。一般的に、ウイルス検出、字句解析、およびサイト分類などのコンテンツ スクリーニング用のサード パーティ製ツールを、ファイアウォールに追加することができます。

アプリケーション レイヤ ファイアウォールには、それを通過するトラフィックに基づいて、多くの異なるプロトコルを検査する機能があります。インターネット トラフィック (HTTP、FTP Download、SSL など) を通常検査するプロキシ ファイアウォールとは異なり、アプリケーション レイヤ ファイアウォールは、トラフィックがファイアウォールを通過する方法を、非常にきめ細かく制御できます。たとえば、アプリケーション レイヤ ファイアウォールでは、ファイアウォールの境界内から発信された UDP トラフィックだけに通過を許可することができます。インターネット ホストがステートフル ファイアウォールをポート スキャンして、その環境への DNS トラフィックが許可されるかどうかを調べる場合、ポート スキャンはおそらく、DNS に関連付けられた既知のポートが開かれていることを示します。しかし、いったん攻撃が展開されると、ステートフル ファイアウォールは要求が内部から発信されたものではないため、これを拒否します。アプリケーション レイヤ ファイアウォールは、トラフィックが内部から発信されたかどうかに基づいて、ポートを動的に開きます。

アプリケーション レイヤ ファイアウォール機能は、IP 偽装、DoS、一部のアプリケーション レイヤ攻撃、ネットワーク偵察、およびウイルスまたはトロイの木馬による攻撃のリスクを軽減するのに役立ちます。アプリケーション レイヤ ファイアウォールの短所は、非常に大きい処理能力を必要とするという点でプロキシと同様です。また、ステートフルまたは静的フィルタリング ファイアウォールよりも、トラフィックの通過が非常に遅くなるのが普通です。アプリケーション レイヤ ファイアウォールを使用する場合の最重要事項は、ファイアウォールがアプリケーション レイヤで何を実行できるかを特定することです。

アプリケーション レイヤ フィルタリングは、一般に開放されているサービスを保護する目的で広く使用されています。組織にオンライン ストアがあり、クレジット カード情報およびその他の顧客の個人情報を収集する場合、万全を期して情報の保護に最高レベルの対策を講じる必要があります。アプリケーション レイヤ フィルタリングを使用すれば、ポート上で適切なトラフィックだけを通過させることができます。パケット フィルタまたはステートフル インスペクション ファイアウォールは、単にポートと送信元および送信先 IP アドレスを検査するだけですが、アプリケーション レイヤ フィルタリング機能をサポートするファイアウォールは、通信で使用されるデータとコマンドの両方を検査できます。

アプリケーション レイヤ機能をサポートするファイアウォールのほとんどは、プロキシ認識されるメッセージング サービス、HTTP、および FTP などのクリア テキスト トラフィックに対するアプリケーション レイヤ フィルタリングだけを備えています。この機能をサポートするファイアウォールはその環境を出入りするトラフィックを管理できることに留意することが大切です。この機能には、DNS トラフィックがファイアウォールを通過するときにそれを検査して DNS 固有のコマンドを探すことができるという長所もあります。この追加の保護レイヤにより、ユーザーまたは攻撃者は許可されるタイプのトラフィック内に情報を隠すことができません。

ページのトップへ

ファイアウォールのクラス

このセクションでは、それぞれが特定の機能を提供する多数のファイアウォール クラスを示します。IT アーキテクチャ設計の特定の要件に応じて、特定のファイアウォール クラスを使用できます。

ファイアウォールをクラスに分けることでサービスのニーズからハードウェアを分離できます。これにより、そのサービス要件をクラスの機能と照合させることができます。あるファイアウォールが特定のクラスに当てはまっていれば、そのクラスのすべてのサービスをサポートしていると考えることができます。

次のようなさまざまなクラスがあります。

  • クラス 1 - パーソナル ファイアウォール

  • クラス 2 - ルーター ファイアウォール

  • クラス 3 - 下位ハードウェア ファイアウォール

  • クラス 4 - 上位ハードウェア ファイアウォール

  • クラス 5 - 上位サーバー ファイアウォール

これらのクラスは一部重なっていることを理解することが重要です。これは設計によって異なり、重なっている部分は、あるタイプのファイアウォール ソリューションが複数のクラスにまたがっていることを示します。多くのクラスは、同一ベンダの複数のハードウェア モデルで提供されていることもあります。これは、現在および将来的な要件に最も適したモデルを組織が選択できるようにするためです。ファイアウォール製品は価格と機能以外に、性能 (またはスループット) に基づいて分類できます。しかし、多くの製造元はファイアウォールのスループットの数字を公表していません。公表されているもの (主にハードウェア ファイアウォール デバイス) もありますが、標準的な測定処理に従っていないため、製造元の間の比較は困難です。たとえば、ある測定値はビット/秒 (bps) ですが、実際にはファイアウォールは IP パケットを通すため、レートの測定で使用されたパケット サイズが含まれていない場合、この測定は意味がありません。

次のセクションでは、各ファイアウォール クラスを詳細に定義します。

ページのトップへ

クラス 1 - パーソナル ファイアウォール

パーソナル ファイアウォールは、パーソナル コンピュータにシンプルなファイアウォール機能を提供するソフトウェア サービスとして定義されます。ダイヤルアップ接続が減ってインターネット常時接続が増えてきたのに伴い、パーソナル ファイアウォールも普及してきました。

パーソナル ファイアウォールは、1 台のコンピュータを保護するために設計されていますが、それがインストールされているコンピュータがそのインターネット接続を内部ネットワーク上の他のコンピュータと共有する場合は、小規模のネットワークを保護することもできます。ただし、パーソナル ファイアウォール ソフトウェアのパフォーマンスには限界があり、それがインストールされているパーソナル コンピュータのパフォーマンスは低下します。保護メカニズムは、通常 IP およびポート アドレスのブロックに限られるため、専用のファイアウォール ソリューションほど効果的でないのが普通です。しかし、一般的にパーソナル コンピュータで必要な保護のレベルは高くありません。

パーソナル ファイアウォールは、オペレーティング システムに付属しているか、非常に低コストで提供されます。このファイアウォールはパフォーマンスと機能が限定されているため、想定した目的には合っていたとしても、小規模のサテライト オフィスであれ、企業での使用を考慮すべきではありません。ただし、ラップトップ コンピュータを使用するモバイル ユーザーには特に適しています。

次の表は、パーソナル ファイアウォールが備えている機能を示したものです。パーソナル ファイアウォールの機能と価格には大きな幅があります。しかし、特にラップトップでは、特定の機能がなくてもそれほど重要ではない場合があります。

表 1: クラス 1 - パーソナル ファイアウォール

ファイアウォール属性
サポートされている基本機能 ほとんどのパーソナル ファイアウォールは、静的パケット フィルタ、NAT、およびステートフル インスペクションをサポートしていますが、回線レベルのインスペクションやアプリケーション レイヤ フィルタリングをサポートしているのは一部だけです。
構成 自動 (手動オプションも使用可能)
IP アドレスの阻止または許可 使用可
プロトコルまたはポート番号の阻止または許可 使用可
着信 ICMP メッセージの阻止または許可 使用可
発信アクセスの制御 使用可
アプリケーションの保護 おおむね可能
音声または画面による警告 おおむね可能
ログ ファイルへの攻撃状況の記録 おおむね可能
リアルタイム警告 製品による
VPN サポート 通常は不可
リモート管理 通常は不可
製造元によるサポート 製品ごとに大幅に異なる
高可用性オプションの有無 使用不可
同時に確立可能なセッション数 1 ~ 10
モジュールのアップグレード性 (ハードウェアまたはソフトウェア) なし、または限定的
価格帯 低 (一部は無料)

長所

パーソナル ファイアウォールの長所は次のとおりです。

  • 低コスト
    必要なライセンス数がわずかである場合は、パーソナル ファイアウォールは安価なオプションです。Windows XP には、パーソナル ファイアウォール機能が組み込まれています。他のバージョンの Windows またはその他のオペレーティング システムで機能する製品は、無料またはわずかなコストで入手できます。

  • 構成が容易
    パーソナル ファイアウォール製品は、構成オプションが簡単明瞭で、すぐ使えるような基本構成を備えているのが普通です。

短所

パーソナル ファイアウォールの短所は次のとおりです。

  • 一元管理が困難
    パーソナル ファイアウォールは、各クライアントで設定する必要があるため、管理負荷が増えます。

  • 基本制御機能のみ
    構成は、静的パケット フィルタリングとアプリケーションの権限ベースのアプリケーション保護機能のみの組み合わせであるのが普通です。

  • 性能上の制約
    パーソナル ファイアウォールは、1 台のパーソナル コンピュータを保護するように設計されています。小規模なネットワークのルーターとして機能するコンピュータでこのファイアウォールを使用すると、パフォーマンスの低下を招きます。

ページのトップへ

クラス 2 - ルーター ファイアウォール

ルーターは、通常、前に説明したファイアウォール機能を 1 つまたは複数サポートしています。ルーターは、インターネット接続用に設計された下位デバイスと、従来からある下位ルーターにさらに分けることができます。下位ルーターは、特定の IP アドレスおよびポート番号をブロックまたは許可する基本的なファイアウォール機能を提供し、また、NAT を使用して内部の IP アドレスを隠します。インターネットからの侵入をブロックするために最適化されたファイアウォール機能を標準で提供することもよくあります。構成の必要はありませんが、さらにきめ細かく構成することもできます。

上位ルーターでは、ping などのより明らかな侵入を禁止することによって、また、ACL を使用して他の IP アドレスおよびポートの制限を実装することによって、アクセスの制御を強化するように設定できます。一部のルーターではステートフル パケット フィルタリングが提供されます。上位ルーターのファイアウォール機能は、低価格でスループットが小さいハードウェア ファイアウォール デバイスの機能とほぼ同じです。

表 2: クラス 2 - ルーター ファイアウォール

ファイアウォール属性
サポートされている基本機能 大半のルーター ファイアウォールは、静的パケット フィルタリング機能をサポートしています。下位ルーターは、一般的に NAT をサポートしています。上位ルーターには、ステートフル インスペクションやアプリケーション レイヤ フィルタリングをサポートしているものもあります。
構成 下位ルーターは一般に自動 (手動オプションあり)。上位ルーターは一般に手動。
IP アドレスの阻止または許可 使用可
プロトコル/ポート番号の阻止または許可 使用可
着信 ICMP メッセージの阻止または許可 使用可
発信アクセスの制御 使用可
アプリケーションの保護 おおむね可能
音声または画面による警告 おおむね可能
ログ ファイルへの攻撃状況の記録 多くの場合可能
リアルタイム警告 多くの場合可能
VPN のサポート 下位ルーターでは一般にサポートしていますが、上位ルーターでは一般的にサポートしていません。VPN 処理専用の機器またはサーバーも使用することができます。
リモート管理 使用可
製造元によるサポート 下位ルーターでは一般に限定的、上位ルーターの場合は充実しています。
高可用性オプションの有無 下位機種: なし
上位機種: あり
同時に確立可能なセッション数 10 – 1,000
モジュールのアップグレード性 (ハードウェアまたはソフトウェア) 下位機種: なし
上位機種: 限定的
価格帯 低~高

長所

ルーター ファイアウォールの長所は次のとおりです。

  • 低コストである
    既存のルーター ファイアウォール機能を有効にすれば、ルーターのコストが増えたり、ハードウェアを追加したりする必要がありません。

  • 構成を統合可能
    ルーター ファイアウォール構成は、ルーターが通常の操作用に構成されているときに完了するため、管理の負荷は最小限で済みます。ルーター ファイアウォールの導入に特に適している環境は、サテライト オフィスです。これは、ネットワーク機器とネットワーク管理作業が簡素化されるからです。

  • 投資の保護
    操作スタッフはルーター ファイアウォールの構成および管理に慣れており、再トレーニングは必要ありません。別途ハードウェアを設置する必要がないので、ネットワーク配線とネットワーク管理作業が簡素化されます。

短所

ルーター ファイアウォールの短所は次のとおりです。

  • 限られた機能
    一般的に、下位ルーターは、基本的なファイアウォール機能だけを提供します。上位ルーターでは、より高度なレベルのファイアウォール機能が提供されるのが普通ですが、かなりの構成が必要な場合があります。この構成作業内容の大半は、制御機能の追加です。その多くは見落としやすい制御を追加して行われるため、正しく設定することが少し困難になっています。

  • 基本制御機能のみ
    構成は、静的パケット フィルタリングとアプリケーションの権限ベースのアプリケーション保護機能のみの組み合わせであるのが普通です。

  • パフォーマンスへの影響
    ルーターをファイアウォールとして使用すると、ルーターのパフォーマンスが損なわれ、本来のタスクであるルーティング機能の速度が低下します。

  • ログ ファイルのパフォーマンス
    異常な動作を検出するためにログ ファイルへの書き込みを行うと、ルーターの性能が大幅に低下するおそれがあります。特に、攻撃されている最中は性能低下が顕著になります。

ページのトップへ

クラス 3 - 下位ハードウェア ファイアウォール

ハードウェア ファイアウォール市場の下位にあるのは、構成がほとんどまたはまったく必要ないプラグ アンド プレイ ユニットです。これらのデバイスには、ほとんど、スイッチや VPN の機能も組み込まれています。下位ハードウェア ファイアウォールは、小規模事業と、大きい組織の内部での使用をターゲットにしています。一般的に、静的フィルタリング機能と基本的なリモート管理機能が提供されます。大手製造元のファイアウォール製品は、その製造元の上位機種と同じソフトウェアを採用している場合があります。この場合、上位機種が必要になった場合にアップグレードできます。

表 3: クラス 3 - 下位ハードウェア ファイアウォール

ファイアウォール属性
サポートされている基本機能 ほとんどの下位ハードウェア ファイアウォールは、静的パケット フィルタリング機能および NAT をサポートしています。また、ステートフル インスペクションやアプリケーション レイヤ フィルタリング機能をサポートしている場合もあります。
構成 自動 (手動オプションも使用可能)
IP アドレスの阻止または許可 使用可
プロトコル/ポート番号の阻止または許可 使用可
着信 ICMP メッセージの阻止または許可 使用可
発信アクセスの制御 使用可
アプリケーションの保護 通常はなし
音声または画面による警告 通常はなし
ログ ファイルへの攻撃状況の記録 通常はなし
リアルタイム警告 通常はなし
VPN のサポート 製品ごとに異なる
リモート管理 使用可
製造元によるサポート 限定的
高可用性オプションの有無 通常はなし
同時に確立可能なセッション数 > 10–7500
モジュールのアップグレード性 (ハードウェアまたはソフトウェア) 限定的
価格帯

長所

下位ハードウェア ファイアウォールの長所は次のとおりです。

  • 低コスト
    下位ファイアウォールは、安価で購入できます。

  • 単純な構成
    構成はほとんど必要ありません。

短所

下位ハードウェア ファイアウォールの短所は次のとおりです。

  • 限られた機能
    一般的に、下位ハードウェア ファイアウォールは、基本的なファイアウォール機能だけを提供します。また、並列実行して冗長構成にすることはできません。

  • 低いスループット
    下位のハードウェア ファイアウォールは、高いスループット接続を処理するように設計されていないため、ボトルネックの原因になる可能性があります。

  • 製造元からの限定されたサポート
    低コストの製品であるため、製造元のサポートは、電子メールと Web サイトに限定されるのが一般的です。

  • 限定されたアップグレード性
    通常、ハードウェア アップグレードは用意されていませんが、ほとんどの場合、定期的なファームウェア アップグレードを使用できます。

ページのトップへ

クラス 4 - 上位ハードウェア ファイアウォール

ハードウェア ファイアウォール市場の上位にあるのは、パフォーマンスも障害許容力も高い製品で、企業またはサービス プロバイダに適しています。これらの製品は一般に、最高レベルの保護機能を備えており、しかもネットワーク性能を低下させることがありません。

障害許容力を高めるには、ホット スタンバイ ユニットとして動作するファイアウォールを増設します。この増設ファイアウォールは、状態情報を自動的に同期させることによって、現在の接続テーブルを保持します。

侵入は常時発生するため、インターネットに接続するすべてのネットワークでファイアウォールを使用する必要があります。DoS 攻撃、盗用、データ破壊は絶えず試行されているからです。中央または本社に展開する場合は、上位ハードウェア ファイアウォール ユニットを考慮する必要があります。

表 4: クラス 4 - 上位ハードウェア ファイアウォール

ファイアウォール属性
サポートされている基本機能 大半の上位ハードウェア ファイアウォールは、静的パケット フィルタリング機能と NAT 機能をサポートしています。また、ステートフル インスペクションやアプリケーション レイヤ フィルタリングをサポートしているものもあります。
構成 通常は手動
IP アドレスの阻止または許可 使用可
プロトコル/ポート番号の阻止または許可 使用可
着信 ICMP メッセージの阻止または許可 使用可
発信アクセスの制御 使用可
アプリケーションの保護 製品による
音声または画面による警告 使用可
ログ ファイルへの攻撃状況の記録 使用可
リアルタイム警告 使用可
VPN サポート 製品による
リモート管理 使用可
製造元によるサポート 充実している
高可用性オプションの有無 使用可
同時に確立可能なセッション数 > 7500–500,000
モジュールのアップグレード性 (ハードウェアまたはソフトウェア) 使用可
価格帯

長所

上位ハードウェア ファイアウォールの長所は次のとおりです。

  • 高いパフォーマンス
    ハードウェア ファイアウォール製品はファイアウォール専用機器として設計されており、高度な方法で侵入を阻止するとともに、性能低下を最小限に抑えています。

  • 高可用性
    上位ハードウェア ファイアウォールどうしを接続することにより、可用性を向上させ、また負荷を分散することができます。

  • モジュール式システム
    ハードウェアとソフトウェアの両方を新しい要件に合わせてアップグレードできます。ハードウェアのアップグレードには、イーサネット ポートの追加が含まれる場合があります。一方、ソフトウェアのアップグレードには、新しい侵入の方法の検出が含まれる場合があります。

  • リモート管理
    上位ハードウェア ファイアウォールは、対応する下位製品よりも優れたリモート管理機能を提供します。

  • 障害許容力
    上位ハードウェア ファイアウォールは、可用性と障害許容力を確保するための機能を備えていることがあります。たとえば、同一製品を増設してホット スタンバイ構成やアクティブ スタンバイ構成にすることができます。

  • アプリケーション レイヤ フィルタリング
    下位ハードウェア ファイアウォールは一般に、OSI 参照モデルの第 3 層でのみフィルタリングを行います (一部の製品は、第 4 層でもフィルタリングを行います)。それに対して上位ハードウェア ファイアウォールは、代表的なアプリケーションに対して第 5 ~ 7 層でフィルタリングを行います。

短所

上位ハードウェア ファイアウォールの短所は次のとおりです。

  • コストが高い
    上位ハードウェア ファイアウォールは、総じて高価です。100 ドル程度で購入できる製品もありますが、エンタープライズ ファイアウォールのコストはよりいっそう高くなります。これは、価格が並列セッションの数、スループット、可用性要件に基づいている場合が多いからです。

  • 複雑な構成と管理
    上位ハードウェア ファイアウォールは、下位ファイアウォールと比較してはるかに能力が高いため、設定と管理も複雑になります。

ページのトップへ

クラス 5 - 上位サーバー ファイアウォール

上位サーバー ファイアウォールは、ファイアウォール機能を上位サーバーに追加し、堅牢で高速な保護を標準のハードウェア システムおよびソフトウェア システム上に提供します。このような製品を使用する長所は、よく知られているハードウェアやソフトウェアを使用できることです。また、資産品目が減少し、研修や管理が単純になり、信頼性と拡張性が得られます。上位ハードウェア ファイアウォールの多くは、業界標準のオペレーティング システムを稼動させる (ただし外見からはそのことがわかりません) 業界標準のハードウェア プラットフォーム上に実装されるため、技術面またはパフォーマンスの点でサーバー ファイアウォールとほとんど異なりません。上位ハードウェア ファイアウォールが実装されているオペレーティング システムは識別できるので、サーバー ファイアウォール機能をアップグレードし、クラスタ化などの手法によって障害許容力を高めることができます。

サーバー ファイアウォールは一般的に使用されているオペレーティング システムを稼動させるサーバーであるため、(ハードウェア ファイアウォールのように 1 つの販売元からだけではなく) さまざまな製造元から提供される別のソフトウェアや機能をファイアウォールに追加できます。よく知られたオペレーティング システムを使用することは、より効果的なファイアウォール保護につながります。いくつかの他のクラスのファイアウォールでは、適切で完全な構成を行うのに膨大な専門知識が必要になります。

このクラスは、特定のハードウェア プラットフォームやソフトウェア プラットフォームに対して多量の投資が行われている場合に適しています。ファイアウォールにも同一のプラットフォームを使用することで、管理タスクが簡単になるためです。このクラスの持つキャッシング機能も非常に効果があります。

表 5: クラス 5 - 上位サーバー ファイアウォール

ファイアウォール属性
サポートされている機能 大半の上位サーバー ファイアウォールは、静的パケット フィルタリング機能と NAT 機能をサポートしています。さらに、ステートフル インスペクションまたはアプリケーション レイヤ フィルタリング、またはその両方がサポートされる場合もあります。
構成 通常は手動
IP アドレスの阻止または許可 使用可
プロトコル/ポート番号の阻止または許可 使用可
着信 ICMP メッセージの阻止または許可 使用可
発信アクセスの制御 使用可
アプリケーションの保護 製品による
音声または画面による警告 使用可
ログ ファイルへの攻撃状況の記録 使用可
リアルタイム警告 使用可
VPN サポート 製品による
リモート管理 使用可
製造元によるサポート 充実している
高可用性オプションの有無 使用可
同時に確立可能なセッション数 50,000 以上 (複数のネットワーク セグメントにわたる数)
モジュールのアップグレード性 (ハードウェアまたはソフトウェア) 使用可
その他 一般的に使用されるオペレーティング システム
価格帯

長所

サーバー ファイアウォールの長所は次のとおりです。

  • 高いパフォーマンス
    適切な規模のサーバー上で実行した場合、これらのファイアウォールは高いパフォーマンスを発揮できます。

  • サービスの統合
    サーバー ファイアウォールは、オペレーティング システムの機能を利用できます。たとえば、Microsoft Windows Server™ 2003 オペレーティング システム上で動作するファイアウォール ソフトウェアは、そのオペレーティング システムが備えているネットワーク負荷分散機能を利用できます。また、サーバー ファイアウォールは VPN サーバーとしての役割を果たすこともあります。その場合も、Windows Server 2003 オペレーティング システムの機能を利用します。

  • 可用性、障害許容力、および拡張性
    このファイアウォールは、標準のパーソナル コンピュータのハードウェア上で稼動するため、そのパーソナル コンピュータ プラットフォームの持つ可用性、障害許容力、および拡張性をすべて備えます。

短所

サーバー ファイアウォールの短所は次のとおりです。

  • 上位ハードウェアが必要
    高いパフォーマンスを発揮するために、サーバー ファイアウォール製品は、中央処理装置 (CPU)、メモリ、およびネットワーク インターフェイスについて上位のハードウェアを必要とします。

  • 脆弱性
    サーバー ファイアウォール製品は、よく知られたオペレーティング システム上で稼動するため、オペレーティング システムやサーバー上で実行されるその他のソフトウェアの脆弱性に影響されやすくなっています。ハードウェア ファイアウォールについても同様のことが言えますが、通常、ハードウェア ファイアウォールのオペレーティング システムは、ほとんどのサーバーのオペレーティング システムに比べ、攻撃者に知られていません。

内部ファイアウォールの使用方法

内部ファイアウォールは、外部から内部ネットワークへのアクセス、および内部ネットワークから外部へのアクセスを制御するために存在します。ユーザーには次のタイプがあります。

  • 信頼関係にあるユーザー
    組織の従業員。たとえば、境界領域外またはインターネット領域にアクセスする内部ユーザー、事業所の従業員、リモート ユーザー、在宅勤務者。

  • 半信頼関係にあるユーザー
    信頼関係にないユーザーに比べて高いレベルの信頼関係がある、組織のビジネス パートナー。ただし、この信頼関係は通常、組織の従業員に対するものと比較して低いレベルです。

  • 信頼関係にないユーザー
    たとえば、組織が公開している Web サイトのユーザー。

インターネット上の信頼関係にないユーザーは、理論上、自社の境界領域にある Web サーバーにしかアクセスできないようにすべきです。信頼関係にないユーザーが自社の内部サーバーにアクセスする必要がある場合 (たとえば、在庫水準を確認する必要がある場合)、信頼できる Web サーバーが代わりに照会を行うので、信頼関係にないユーザーが内部ファイアウォールの通過を許可されることはありません。

内部ファイアウォールとして使用するファイアウォールのクラスを選択する場合に、検討する必要のある項目がいくつかあります。次の表に、これらの検討事項を示します。

表 6: 内部ファイアウォールのクラスを選択する場合の検討事項

検討事項 この役割で導入されるファイアウォールの通常の特性
セキュリティ管理者により指定される必須のファイアウォール機能 これは、要求されるセキュリティの程度と、機能のコスト、およびセキュリティの強化が原因となるパフォーマンスの低下とのバランスです。多くの組織が、境界ファイアウォールに対して最大限のセキュリティを期待しますが、パフォーマンスへの悪影響を避けたいと考える組織もあります。たとえば、電子商取引を伴わない大規模な Web サイトでは、アプリケーション レイヤ フィルタリングの代わりに静的パケット フィルタを使用することで得られる高レベルのスループットを重視し、低レベルのセキュリティを許可する場合があります。
デバイスを専用の物理デバイスにしてその他の機能を提供するか、または物理デバイス上の論理ファイアウォールにするかについての選択 これは、求められる性能、データの機密度、および境界領域からアクセスする頻度によって左右されます。
組織の管理体系により指定されるデバイスに対する管理性要件 通常、何らかの形式のログ記録が使用されますが、イベント監視のメカニズムもしばしば要求されます。悪意のあるユーザーがファイアウォール機器をリモート制御できないように、リモート管理を無効にする場合もあります。
組織内のネットワークおよびサービスの管理者により決定されるスループット要件 これは環境によってさまざまですが、デバイスまたはサーバー内のハードウェアの能力、および使用するファイアウォール機能により、ネットワーク全体で使用可能なスループットは決定されます。
可用性要件 可用性要件は、Web サーバーに対するアクセス要件によって異なります。Web サーバーの主目的が情報要求の処理であり、その要求が Web ページの表示によって満たされる場合、内部ネットワークへの流れは少なくなります。ただし、E コマースの場合は高い可用性が必要とされます。

内部ファイアウォールのルール

内部ファイアウォールは、信頼についての 2 つのゾーン、つまり境界ゾーンと内部ゾーンの間のトラフィックを監視します。内部ファイアウォールに対する技術的な要件は、境界ファイアウォールに対する要件に比べて非常に複雑です。これは、これらのネットワーク間のトラフィックの種類とフローが複雑なためです。

このセクションでは、"要塞ホスト" について言及します。要塞ホストは境界ネットワーク内に位置するサーバーで、内部ユーザーと外部ユーザーの両方にサービスを提供します。要塞ホストの例としては、Web サーバーや VPN サーバーがあります。通常、内部ファイアウォールでは、既定の設定または構成により、次のルールを実装することが必要になります。

  • 既定で、パケットをすべてブロックする。

  • 偽装防止のため、境界インターフェイス上では、内部の IP アドレスから送信されたように見える着信パケットをブロックする。

  • 内部からの攻撃防止のため、内部インターフェイス上では、外部の IP アドレスから送信されたように見える発信パケットをブロックする。

  • DNS リゾルバからインターネット上の DNS サーバーへの UDP ベースの照会および応答を許可する。

  • インターネット上の DNS サーバーから DNS アドバタイザへの UDP ベースの照会および応答を許可する。

  • 内部 DNS サーバーから DNS リゾルバ要塞ホストへの TCP ベースの照会、およびそれに対する応答を許可する。

  • DNS リゾルバ要塞ホストから 内部 DNS サーバーへの TCP ベースの照会、およびそれに対する応答を許可する。

  • DNS アドバタイザ要塞ホストと内部 DNS サーバー ホストとの間のゾーン転送を許可する。

  • 内部 SMTP メール サーバーから SMTP 送信要塞ホストへの送信メールを許可する。

  • SMTP 受信要塞ホストから内部 SMTP メール サーバーへの受信メールを許可する。

  • VPN サーバーのバック エンドから送信されて内部ホストに到着するトラフィック、および VPN サーバーへの応答のトラフィックを許可する。

  • 内部ネットワーク上の RADUIS サーバーへの認証トラフィック、および VPN サーバーへの応答トラフィックを許可する。

  • 内部のクライアントから外部に向かう Web アクセスはすべて、プロキシ サーバーを経由し、応答は内部クライアントに戻される。

  • 境界ドメインと内部ドメインの両方に対して、ネットワーク セグメント間の Microsoft Windows 2000/2003 ドメイン認証トラフィックをサポートする。

  • 少なくとも 5 つのネットワーク セグメントをサポートする。

  • 接続しているすべてのネットワーク セグメント間のパケットに対するステートフル インスペクションを実行する (サーキット レイヤ ファイアウォールのレイヤ 3 とレイヤ 4)。

  • ステートフル フェールオーバーのような、高可用性機能をサポートする。

  • 接続されているすべてのネットワーク セグメント間のトラフィックを NAT (ネットワーク アドレス変換) を使用しないで転送する。

ページのトップへ

ハードウェア要件

ファイアウォールに対するハードウェア要件は、次に示すように、ソフトウェアベースのファイアウォールとハードウェアベースのファイアウォールで異なります。

  • ハードウェアベースのファイアウォール
    これらのデバイスでは、通常、カスタマイズされたハードウェア プラットフォーム上で専用のコードが実行されます。これらのファイアウォールの規模および価格は、対応可能な接続数、および実行するソフトウェアの複雑さに基づきます。

  • ソフトウェアベースのファイアウォール
    ソフトウェアベースのファイアウォールも、同時接続の数とファイアウォール ソフトウェアの複雑さに基づいて構成されます。対応可能な接続数に基づいて、サーバーに必要なプロセッサ速度、メモリ サイズ、およびディスク空き容量を計算できる計算機が存在します。負荷分散や VPN ソフトウェアなど、ファイアウォール サーバー上で実行される可能性のある、その他のソフトウェアについても考慮してください。また、ファイアウォールを垂直方向および水平方向に拡張する方法についても考慮します。この方法には、プロセッサ、メモリ、およびネットワーク カードを追加することによりシステム能力を向上させる方法と、複数のシステムと負荷分散を使用してファイアウォール タスクを分散させる方法があります。製品によっては、対照型マルチプロセッシング (SMP) を使用してパフォーマンスを強化させるものもあります。ソフトウェア ファイアウォール製品のいくつかでは、Windows Server 2003 のネットワーク負荷分散サービスを使用して、フォールト トレランス、高可用性、効率性、およびパフォーマンスの向上を実現できます。

ページのトップへ

可用性

ファイアウォールは、可用性を向上させるために、冗長コンポーネントを伴う単一のファイアウォール デバイスとして実装するか、フェールオーバーのメカニズムまたは負荷分散のメカニズムまたはその両方が組み込まれた、ファイアウォールの冗長ペアとして実装できます。これらの実装方法の長所と短所については、以降のサブセクションで説明します。

冗長コンポーネントを伴わない単一のファイアウォール

冗長コンポーネントを伴わない単一のファイアウォールを図に示します。

図 2: 冗長コンポーネントを伴わない単一のファイアウォール

長所

単一ファイアウォールの長所は次のとおりです。

  • 低コスト
    ファイアウォールは 1 つだけのため、ハードウェアおよびライセンスに必要なコストは低くなります。

  • 容易な管理
    サイトまたはエンタープライズ環境にファイアウォールが 1 つしか存在しないため、管理は簡易化されます。

  • 単一のログ ソース
    トラフィックのログ記録はすべて、1 つのデバイスが行います。

短所

冗長でない単一ファイアウォールの短所は次のとおりです。

  • シングル ポイント障害
    内部および外部に向かうアクセスの両方またはどちらかで、シングル ポイント障害が発生する可能性があります。

  • トラフィックのボトルネックになる可能性がある
    単一のファイアウォールは、接続数や要求されるスループットによっては、トラフィックのボトルネックになる可能性があります。

冗長コンポーネントを伴う単一のファイアウォール

冗長コンポーネントを伴う単一のファイアウォールを次に図に示します。

図 3: 冗長コンポーネントを伴う単一のファイアウォール

長所

単一ファイアウォールの長所は次のとおりです。

  • 低コスト
    ファイアウォールは 1 つだけのため、ハードウェアおよびライセンスに必要なコストは低くなります。電源装置などの冗長コンポーネントのコストは高くありません。

  • 容易な管理
    サイトまたはエンタープライズ環境にファイアウォールが 1 つしか存在しないため、管理は簡易化されます。

  • 単一のログ ソース
    トラフィックのログ記録はすべて、1 つのデバイスが行います。

短所

単一ファイアウォールの短所は次のとおりです。

  • シングル ポイント障害
    冗長コンポーネントの数によっては、内部および外部に向かうアクセスの両方またはどちらかで、シングル ポイント障害が発生する可能性があります。

  • コスト
    コストは、冗長性のないファイアウォールに比べて高くなり、冗長性を組み込むために上位クラスのファイアウォールが必要になる場合があります。

  • トラフィックのボトルネックになる可能性がある
    単一のファイアウォールは、接続数や要求されるスループットによっては、トラフィックのボトルネックになる可能性があります。

フォールト トレラント ファイアウォール

フォールト トレラント ファイアウォール セットには、次の図に示すように、各ファイアウォールを二重化するメカニズムが含まれます。

図 4: フォールト トレラント ファイアウォール

長所

フォールト トレラント ファイアウォール セットの長所は、次のとおりです。

  • フォールト トレランス
    サーバーまたはデバイスのペアを使用することで、必要なレベルのフォールト トレランスを提供できます。

  • 集中トラフィック ログ
    一方または両方のファイアウォールが、もう一方のファイアウォールまたは別のサーバーにアクティビティを記録しているので、トラフィック ログはより信頼できます。

  • 状態の共有が可能
    製品によっては、このセット内のファイアウォールでセッションの状態を共有することが可能です。

短所

フォールト トレラント ファイアウォール セットの短所は、次のとおりです。

  • 複雑さの増加
    このタイプのソリューションでは、ネットワーク トラフィックの経路が複数になるため、セットアップおよびサポートが複雑になります。

  • 複雑な構成
    異なるファイアウォール ルールのセットがそれぞれ正しく構成されなかった場合、セキュリティ ホールおよび解決が必要な問題の原因となります。

  • コストの増加
    最低でも 2 つのファイアウォールが必要なため、単一のファイアウォール セットに比べてコストが増加します。

フォールト トレラント ファイアウォールの構成

フォールト トレラント ファイアウォール セット (クラスタとも呼ばれる) の実装には、次のセクションで説明するように、主に 2 つの方法があります。

アクティブ/パッシブ フォールト トレラント ファイアウォール セット

アクティブ/パッシブ フォールト トレラント ファイアウォール セットでは、一方のデバイス (アクティブ ノード) がトラフィックをすべて処理し、もう一方のデバイス (パッシブ ノード) はトラフィックの処理やフィルタリングを行いません。ただし、パッシブ ノードはアクティブな状態であり、アクティブ ノードの状態を監視しています。通常、各ノードは相手のノードと通信し、可用性または接続またはその両方の状態に関する情報を交換します。この通信はハートビートと呼ばれ、各システムは他のシステムに対して 1 秒に数回、信号を送信し、相手のノードによって接続が処理されていることを確認します。ユーザーによって定義された間隔以内にパッシブ ノードがアクティブ ノードからハートビートを受信しなかった場合、これはアクティブ ノードに障害が発生していることを示しますが、パッシブ ノードによってアクティブ ノードの役割が代行されます。アクティブ/パッシブ フォールト トレラント ファイアウォール セットを次の図に示します。

図 5: アクティブ/パッシブ フォールト トレラント ファイアウォール セット

長所

アクティブ/パッシブ フォールト トレラント ファイアウォール セットの長所は、次のとおりです。

  • 単純な構成
    この構成は、次に説明するアクティブ/アクティブ構成に比べて、セットアップやトラブルシューティングが容易です。どの時点においても、アクティブなネットワーク パスは 1 つしか存在しないためです。

  • フェールオーバーの負荷が予測可能
    フェールオーバー時に、トラフィックの負荷全体がパッシブ ノードに切り替えられるため、パッシブ ノードで管理する必要のあるトラフィックを容易に想定できます。

短所

アクティブ/パッシブ フォールト トレラント ファイアウォール セットの短所は、次のとおりです。

  • 非効率的な利用
    アクティブ/パッシブ フォールト トレラント ファイアウォール セットは非効率です。正常に運用されている間、パッシブ ノードはネットワークに対して有益な機能を何も提供せず、スループットを向上させないためです。

アクティブ/アクティブ フォールト トレラント ファイアウォール セット

アクティブ/アクティブ フォールト トレラント ファイアウォール セットでは、すべてのノードが共有する仮想 IP アドレスに対して送信されるすべての要求を複数のノードが積極的にリスンします。負荷は、使用中のフォールト トレランス メカニズムに固有のアルゴリズム、またはユーザーをベースとする静的な構成を介して、ノード間に分散されます。どちらの方法でも、各ノードはさまざまなトラフィックを積極的にフィルタします。1 つのノードで障害が発生した場合、そのノードが以前に負っていた負荷の処理が、障害に影響されなかったノード間で分散されます。アクティブ/アクティブ フォールト トレラント ファイアウォール セットを次の図に示します。

図 6: アクティブ/アクティブ フォールト トレラント ファイアウォール セット

長所

アクティブ/アクティブ フォールト トレラント ファイアウォール セットの長所は、次のとおりです。

  • 効率性
    すべてのファイアウォールがネットワークにサービスを提供するため、これらの使用はより効率的になります。

  • 高スループット
    この構成では、正常に運用されている間、アクティブ/パッシブ構成に比べて高レベルのトラフィックを処理できます。すべてのファイアウォールが同時に、ネットワークにサービスを提供できるためです。

短所

アクティブ/アクティブ フォールト トレラント ファイアウォール セットの短所は、次のとおりです。

  • 過負荷に陥る可能性が高い
    1 つのノードに障害が発生した場合、残りのノード上のハードウェア リソースだけでは、要求される合計スループットを処理するのに不十分である可能性があります。あるノードに障害が発生し、障害の影響を受けなかったノードに余分な負荷がかかった場合にパフォーマンスが低下する可能性があることを理解し、このような事態に備えることは重要です。

  • 複雑さの増加
    ネットワーク トラフィックの経路が複数存在するため、トラブルシューティングはより複雑になります。

ページのトップへ

セキュリティ

ファイアウォール製品のセキュリティは、最も重要です。ファイアウォールのセキュリティに関する業界標準はありませんが、製造元から独立した International Computer Security Association (ICSA) が、認定プログラムを実施しています。この認定プログラムは、市販のファイアウォール製品のセキュリティに関するテストを目的としています。ICSA は、現在市販されているファイアウォール製品を数多くテストしています。詳細については、次の URL を参照してください (英語)。

http://www.icsalabs.com/icsa/icsahome.php

必須のセキュリティ標準をファイアウォールが確実に満足するように注意する必要があります。これを達成する方法の 1 つは、ICSA 認定を取得したファイアウォールを選択することです。また、実績のあるファイアウォールを選択することをお勧めします。インターネット上で利用可能な、セキュリティに関する脆弱性についてのデータベースがいくつかあります。購入を検討している製品の脆弱性に関する情報について、これらをチェックすることをお勧めします。残念なことに、製品にはすべて (ハードウェアベースとソフトウェアベースの両方について)、バグが存在します。購入を検討している製品に影響するバグの数と重要度を認識することに加えて、明らかにされた脆弱性への製造元の対応を評価することも重要です。

ページのトップへ

スケーラビリティ

このセクションでは、ファイアウォール ソリューションの拡張性要件について考えます。ファイアウォールの拡張性は、使用されるデバイスのパフォーマンス特性により、ほとんど決定されます。実際に直面することになるシナリオに対処できる規模のファイアウォールを選択するのが賢明です。拡張を実現するには、次に示す基本的な 2 つの方法があります。

  • 垂直方向への拡張 (スケール アップ)
    ファイアウォールがハードウェア デバイスの場合でも、またサーバー上で稼動するソフトウェア ソリューションの場合でも、メモリ容量を増やし、CPU の処理能力およびネットワーク インターフェイスのスループットを向上させることで、程度は異なりますが、拡張を実現できます。しかし、各デバイスやサーバーには、垂直方向への拡張に関して上限があります。たとえば、CPU 用のソケットを 4 つ備えているサーバーを購入し、CPU を 2 基搭載した状態で運用を開始した場合、増設できる CPU の数は 2 つだけです。

  • 水平方向への拡張 (スケール アウト)
    サーバーの垂直方向への拡張を限界まで行った後は、水平方向への拡張が重要になります。ほとんどのファイアウォールで (ハードウェアベースとソフトウェアベースの両方について)、何らかの形の負荷分散を使用することで、水平方向への拡張が可能です。その場合、複数のサーバーで 1 つのクラスタを編成し、ネットワーク上のクライアントからは 1 つのサーバーとして認識されるようにします。この手法は、このモジュールの「可用性」のセクションで説明した、アクティブ/アクティブ クラスタと本質的に同一です。この機能を提供するために使用されるテクノロジは、前述のものと同一である場合も同一でない場合もあり、これは製造元に依存します。

ハードウェアによるファイアウォールの垂直方向への拡張は、困難な場合があります。しかし、ファイアウォール ハードウェアの製造元によっては、水平方向への拡張によるソリューションが提供されていて、複数のデバイスを積み上げて、単一の負荷分散された装置として動作させることができます。

ソフトウェアベースのファイアウォールには、複数のプロセッサを使用して垂直方向に拡張できるよう設計されているものがあります。複数プロセッサによる処理は、基底にあるオペレーティング システムにより制御され、追加されたプロセッサについてファイアウォール ソフトウェアが意識する必要はありません。ただし、複数プロセッサの効果を十分に活用するためには、ファイアウォール ソフトウェアがマルチタスクで動作できる必要があります。この手法では、単一のデバイスまたは冗長なデバイス上での拡張を実現できます。これは、製造時に製品に組み込まれたハードウェア上の制限に通常従う必要のある、ハードウェアベースまたはデバイスタイプのファイアウォールと異なる点です。デバイスタイプのファイアウォールの多くは、そのデバイスが対応できる同時接続数で分類されます。ハードウェア デバイスの場合、接続に関する要件がそのデバイスの固定的な拡張性で対応できる範囲を超えたために、交換しなければならなくなるという事態がたびたび発生します。

既に説明したように、フォールト トレランスは、ファイアウォール サーバーのオペレーティング システムに組み込まれている場合があります。ハードウェアによるファイアウォールの場合、フォールト トレランスを実現するには、多くの場合で、追加のコストが必要になります。

ページのトップへ

統合

統合とは、ファイアウォール サービスを別のデバイスに組み込む、または他のサービスをファイアウォールに組み込むことを意味します。統合の長所は次のとおりです。

  • 購入コストの節減
    ファイアウォール サービスをルーターなどの別のサービスに組み込むことで、ハードウェアの購入コストを節約できます。ただし、その場合でもファイアウォール ソフトウェアは購入する必要があります。同様に、他のサービスをファイアウォールに組み込むことができる場合、別のハードウェアの購入コストを節約できます。

  • 資産保有コストおよび管理コストの削減
    ハードウェア デバイスの数を少なくすることは、運用コストの削減につながります。ハードウェアのアップグレードが必要になる機会が減り、ケーブルの配線は単純になり、管理が容易になるためです。

  • 高いパフォーマンス
    実現させる統合のタイプによっては、パフォーマンスが向上する可能性があります。たとえば、Web サーバーのキャッシュ機能をファイアウォールに組み込むことにより、他のデバイスとの通信が不要になり、サービス間の会話は、イーサネット ケーブルを介した場合に比べて高速になります。

統合の例を次に示します。

  • ファイアウォール サービスをルーターに追加する
    多くのルーターで、ファイアウォール サービスを組み込むことができます。低価格のルーターに組み込まれるファイアウォール サービスは非常に単純な場合がありますが、通常、上位ルーターには、高機能のファイアウォール サービスを組み込めます。通常、複数のイーサネット セグメントに接続して、それらをまとめているルーターが、内部ネットワーク内に少なくとも 1 つは存在しています。ファイアウォールをそのルーターに組み込むことで、コストを節減できます。特定のファイアウォール デバイスを導入する場合でさえ、ファイアウォール機能をいくつかルーター内に実装することが内部侵入を制限するのに役立つ場合があります。

  • ファイアウォール サービスを内部スイッチに追加する
    使用する内部スイッチによっては、内部ファイアウォールをブレードとして追加でき、コストの節減、パフォーマンスの向上を実現できます。

ファイアウォール サービスを提供するサーバーまたはデバイスに他のサービスを統合することを検討する場合、あるサービスを使用することでファイアウォールの可用性、セキュリティ、または管理性を損なわないように注意する必要があります。他のサービスが発生させた負荷はファイアウォール サービスのパフォーマンスを低下させるため、パフォーマンスについて考慮することも重要です。

ファイアウォール サービスをホストするデバイスまたはサーバーにサービスを統合する別の方法は、ファイアウォール ハードウェア デバイスをスイッチ内にブレードとして統合することです。この方法では通常、どのようなタイプのスタンドアロン ファイアウォールを使用する場合よりもコストは低くなり、二重電源装置のような、スイッチの可用性機能も利用できます。この構成は、別のデバイスが関係しないため、管理が容易でもあります。さらに、このソリューションでは通常、実行速度も速くなります。これは、スイッチ内のバスが使用されるためで、バスは外部ケーブルを使用する場合に比べて非常に高速です。

ページのトップへ

標準およびガイドライン

Internet Protocol version 4 (IPv4) を使用する IP のほとんどが、ファイアウォールで保護できます。これには、TCP や UDP などの低層のプロトコルと、HTTP、SMTP、FTP などの高層のプロトコルの両方が含まれます。検討対象のファイアウォール製品すべてに対して、必要なタイプのトラフィックがサポートされているかどうか再確認してください。ファイアウォールには GRE を解釈できるものもあります。GRE は、いくつかの VPN 実装で使用されている PPTP (Point-to-Point Tunneling Protocol) のためのカプセル化プロトコルです。

いくつかのファイアウォールには、HTTP、SSL、DNS、FTP、SOCKS v4、RPC、SMTP、H.323、POP などのプロトコルのためのアプリケーション レイヤ フィルタが組み込まれています。

現在 IPv4 を使用している場合でも、TCP/IP プロトコルの今後や IPv6 を考慮し、それが各ファイアウォールに対する必須要件であるかどうかについても検討してください。

ページのトップへ

要約

このモジュールでは、ファイアウォール製品の選択に失敗しないための、現実的なプロセスについて説明しました。このプロセスでは、ソリューションを実現させるために必要なさまざまな評価および分類のプロセスを含む、ファイアウォール設計のすべての側面が考慮されています。

100 パーセント安全なファイアウォールは存在しません。ネットワークが電子的な攻撃を外部から受けないようにする唯一の方法は、そのネットワークと別のシステムまたはネットワークとの間に空気の隙間を設けることです。その結果として生じるのは、事実上使用不可能な、セキュリティ保護されたネットワークです。ネットワークを外部ネットワークに接続する場合や 2 つの内部ネットワークを結合する場合、ファイアウォールを使用することで適切なレベルのセキュリティ保護を実装できます。

このモジュールで概説したファイアウォール計画や設計プロセスは、セキュリティ計画全体の一部であると考えてください。強力なファイアウォールでも、ネットワークの他の部分が脆弱であれば価値がありません。セキュリティはネットワークのすべてのコンポーネントに適用される必要があり、環境に固有なリスクに対処するためのセキュリティ ポリシーは、すべてのコンポーネントに対して定義される必要があります。

ページのトップへ

参照情報

ファイアウォール サービスの設計および配置の詳細については、次の URL を参照してください。

Windows Server 2003 の詳細なセキュリティ情報については、次の URL にある「Windows Server 2003 Security Center」モジュール (英語) を参照してください。
http://www.microsoft.com/technet/security/prodtech/windowsserver2003/default.mspx

Microsoft Internet Security & Acceleration Server ファイアウォールおよび Web キャッシュ製品の詳細については、次の URL を参照してください。
http://www.microsoft.com/japan/isaserver/

マイクロソフト製品のセキュリティについての情報を加入者に送付するのに使用している無料の電子メール通知サービスについては、次の URL の「マイクロソフト プロダクト セキュリティ 警告サービス 日本語版のご案内」 Web サイトを参照してください。
http://www.microsoft.com/japan/technet/security/bulletin/notify.mspx

SANS (SysAdmin、Audit、Network、および Security) Institute のセキュリティ リソースは、次の URL で利用できます (英語)。
http://www.sans.org

Computer Emergency Response Team (CERT) が記録および公開しているセキュリティについての警告、およびセキュリティについての専門知識については、次の URL を参照してください (英語)。
http://www.cert.org

ページのトップへ