境界ファイアウォールの設計

公開日: 2004年6月2日

トピック

モジュールの内容
目的
適用対象
モジュールの使用方法
設計ガイドライン
システムに対する攻撃と防御
デバイスの定義
ファイアウォールの機能
ファイアウォールのクラス
クラス 1 - パーソナル ファイアウォール
クラス 2 - ルーター ファイアウォール
クラス 3 - 下位ハードウェア ファイアウォール
クラス 4 - 上位ハードウェア ファイアウォール
クラス 5 - 上位サーバー ファイアウォール
境界ファイアウォールの使用法
境界ファイアウォールのルール
ハードウェア要件
ファイアウォールの可用性
セキュリティ
スケーラビリティ
パフォーマンス
統合
標準およびガイドライン
要約
参照情報

モジュールの内容

このモジュールは、組織の境界ネットワークに適したファイアウォール製品の選択に役立つ情報を提供します。ここでは、使用可能なファイアウォールのさまざまなクラスを示し、その主な機能について説明します。このモジュールはまた、独自の要件を決定するためのガイダンスとして使用できます。ここで説明する内容は、最適な製品を選択するときに役立ちます。

ページのトップへ

目的

このモジュールの目的は次のとおりです。

  • 境界ファイアウォールに必要な機能を示す。

  • ファイアウォール製品をクラス分けする。

  • 境界ファイアウォールに最適な製品を選定する。

ページのトップへ

適用対象

このモジュールは、次のテクノロジに適用されます。

  • イーサネット/IP ベースのファイアウォール製品

ページのトップへ

モジュールの使用方法

このモジュールでの説明は、TCP/IP プロトコル、自社のネットワーク アーキテクチャ、そして特に境界ネットワーク上のデバイスについての知識があることを前提としています。これらの知識は、インターネットからの着信トラフィックで、何が有効とみなされ、何が無効かを区別するのにも役立ちます。

このモジュールで説明する設計のガイドラインは、拡張やコストなどの重要事項を考慮したうえでの、ファイアウォールに必要な機能を選択する際に適用できます。またこのモジュールでは、ユーザーのネットワーク環境で発生する可能性が最も高いアタックを特定できるように、大きな損害が発生するいくつかのアタックについての情報も提供します。さらにこの情報を使用して、ファイアウォールをインストールするだけでなく、サーバー構成の強化や、インターネット サービス プロバイダ (ISP) との制御に関する打ち合わせなどによって、アタックの防御方法を決定できます。ここでは、ファイアウォールのさまざまなクラスも定義されます。この設計ガイドラインを使用して、要件に適した最適なファイアウォール クラスを選択できます。このモジュールで説明する知識と技術用語に基づいて、ファイアウォールの製造元とその製品について打ち合わせたり、要件に対する適合性を評価できます。

ページのトップへ

設計ガイドライン

内部ユーザーおよび外部ユーザーによるネットワーク攻撃の発生頻度は高まっているため、これらの攻撃からの保護を確立する必要があります。ファイアウォールはネットワークの保護を提供する一方で、費用がかかり、トラフィック フローの妨げにもなります。このため、できる限りコスト面の効果および効率が高いものを選択する必要があります。

ネットワーク アーキテクチャ

エンタープライズ ネットワーク アーキテクチャには、一般的に次の 3 つのゾーンがあります。

  • ボーダー ネットワーク このネットワークはルーター経由でインターネットに直接接しているため、基本的なネットワーク トラフィックをフィルタリングすることで、最初の保護レイヤを提供する必要があります。ルーターは、境界ファイアウォールを経由して、境界ネットワークにデータを送信します。

  • 境界ネットワーク このネットワークは、DMZ (非武装地帯) またはエッジ ネットワークとも呼ばれ、接続しようとするユーザーを Web サーバーまたは他のサービスにリンクします。次に、Web サーバーは、内部ファイアウォールを経由して内部ネットワークにリンクします。

  • 内部ネットワーク 内部ネットワークは、SQL Server などの内部サーバーおよび内部ユーザーにリンクします。

図 1 に、これらのネットワークを示します。

図 1 エンタープライズ ネットワーク アーキテクチャ

拡大表示する

設計時の検討項目

ファイアウォールは、受信 IP パケットを検査し、ネットワークに侵入しようとしているパケットを検出して遮断します。特定のパケットは既定で不正とみなされ、遮断されます。また、指定したパケットを遮断するようにファイアウォールを構成することもできます。TCP/IP プロトコルは、ハッキングや侵入などの概念がなかった頃に設計されたので、多くの弱点を抱えています。たとえば、TCP/IP 内の通知機構として設計された ICMP プロトコルは、不正使用を防止するしくみを備えていないため、サービス拒否 (DoS) 攻撃などの問題を引き起こす恐れがあります。境界ファイアウォールは、内部ファイアウォールよりも限られた機能でもかまいません。これは、着信トラフィックの有効な送信先が Web サーバーまたは他の特殊なサービスであり、より限定されるためです。

現在さまざまな種類のファイアウォール製品が販売されており、各製品は、価格だけでなく、機能や性能の面でも違いがあります。一般的に、高価な製品ほど、より優れた性能と機能を備えています。このモジュールでは、ファイアウォールをクラス分けしてその違いを説明しますが、ファイアウォールを選ぶ際には、次の項目を考慮に入れて要件を特定する必要があります。

  • 予算

  • 既存の設備

  • 可用性

  • スケーラビリティ

  • 必要な機能

予算

どのくらいコストをかけられるかを検討します。ネットワーク上に設置する各ファイアウォールにおいては、サービス レベルを最大限に高めると同時に費用対効果を維持すべきです。ただし、ファイアウォールに対する予算の制約が厳しすぎる場合、業務に支障をきたす恐れがあります。たとえば、DoS 攻撃によってサービスが中断した場合の損失額を検討する必要があります。

既存の設備

既存の設備を活用してコストを節約できるかどうかを検討します。たとえば、環境内には既に、再利用可能なファイアウォールや、ファイアウォール機能を備えたルーターが存在していることがあります。ISP が、"レートの制限" などのファイアウォール制限をリンクに実装していることもよくあります。レート制限は、パケットが送信されてくるレートを制限して、ネットワークが他の多数のコンピュータから同時に攻撃される分散サービス拒否 (DDoS) 攻撃を阻止します。RFC 1918 および 2827 に準拠したフィルタリングを実行しているかどうかを ISP に問い合わせてください。

可用性

ファイアウォールを常時稼動させる必要があるかどうかを検討します。1 日 24 時間、ユーザーからの接続が考えられるパブリック Web サーバー機能を提供している場合は、ほぼ 100% の稼働時間を実現する必要があります。どんなファイアウォールでも障害の可能性は常にあるため、その可能性を小さくする必要があります。ファイアウォールの可用性を向上させるには、次の 2 つの方法があります。

  • コンポーネントの冗長化 電源装置など、障害が発生しやすいコンポーネントを二重化させると、1 つ目のコンポーネントに障害が発生しても運用に影響が出ないため、ファイアウォールの障害許容力が向上します。ただし低コストのファイアウォールは一般的に冗長化オプションを備えていません。障害許容力を向上させるにはコストがかかる一方で処理能力は上がりません。

  • デバイスの二重化 ファイアウォール デバイスを二重化させると全体的な障害対応システムが提供されますが、ネットワークの接続と、ファイアウォールを接続するルーターまたはスイッチの接続も二重化していなければならないため、この場合もかなりのコストがかかります。ただし、ファイアウォールのタイプによっては、代わりにスループットが 2 倍になることもあります。理論上は、規模の大小にかかわらずすべてのファイアウォールを二重化できますが、実際はソフトウェア切り替えメカニズムも必要になります。このメカニズムは小規模のファイアウォールには存在しない場合があります。

スケーラビリティ

ファイアウォールのスループット用件を検討する必要があります。スループットは、1 秒間に転送されるビット数と 1 秒間に転送されるパケット数の両面で検討できます。新規事業の場合、スループット レートを把握できないことがありますが、事業が成功を収めた場合、インターネットからのスループットが急速に増加します。この変化に対応するには、ファイアウォールにコンポーネントを追加するか、別のファイアウォールを並行してインストールする方法でスループットの増加に応じた拡張ができるファイアウォール ソリューションを選択する必要があります。

必要な機能

どのファイアウォール機能が必要であるかを検討します。組織内で提供されるサービスに対して実施されるリスク評価に基づいて、そのサービスを提供する資産の保護に必要なファイアウォール機能を決定できます。仮想プライベート ネットワーク (VPN) が必要な場合は、設計に影響があるのでこの点の検討も必要です。

ページのトップへ

システムに対する攻撃と防御

このセクションでは、よく知られたシステム攻撃のいくつかの概要と、最前線の防御としてファイアウォール サービスを使用する理由について説明します。

外部からの攻撃

インターネットは、組織を脅かしたり営業秘密を盗んで競争で優位に立とうとしたりする人々の温床です。境界ファイアウォールをインストールして侵入のログを確認すると、その数に驚かされます。これらの侵入の多くは、マシンが応答するか、どのようなサービスが実行されているかということを探ることを目的にしています。これは、一見無害ですが、攻撃者がマシンを発見した場合、次にその弱点を認識してサービスを攻撃する可能性があります。

内部からの攻撃

インターネット ベースの攻撃に対する保護に加えて、機密情報を保護する必要があります。ほとんどの組織には機密情報があり、従業員だけでなくベンダ、請負業者、顧客などを含む内部ネットワークの特定のユーザーからその情報を保護する必要があります。境界ファイアウォールは主に外部からの攻撃を防御するために配置されますが、事情に通じた内部ユーザーがインターネット経由で侵入しようとする可能性もあります。

侵入のタイプ

侵入にはさまざまな方法がありますが、ここでそのすべての形態を説明するには限界があります。それは、新しい侵入方法が毎日のように生まれているからです。サーバー アドレスの ping など、一部の攻撃は無害に思えるかもしれませんが、サーバーの存在を検出した後、ハッカーがより深刻な攻撃を仕掛けてくる可能性があります。つまり、すべての攻撃は潜在的に有害であると考える必要があります。主な侵入形態は次のとおりです。

  • パケット スニファ スニファとは、LAN に接続され、イーサネット フレームから情報を取得するソフトウェア アプリケーションまたはハードウェア デバイスです。このシステムの本来の目的は、イーサネット トラフィックのトラブルシューティングと分析、またはフレームをより深く掘り下げた個別 IP パケットの調査にあります。スニファは、無作為検出モードで実行されるため、物理的なワイヤ上のすべてのパケットをリスンします。Telnet などの多くのアプリケーションは、スニファ製品で読むことができるクリア テキストでユーザー名とパスワード情報を送信するため、スニファを所有しているハッカーは多くのアプリケーションにアクセスできます。

    スニファはネットワーク トラフィックを生成しないため、スニフィングをファイアウォールで防ぐことはできません。スニフィングに対抗するには、まず強力に暗号化されたパスワードを使用するなど、さまざまな手段がありますが、それについてはこのモジュールでは説明しません。

  • IP 偽装 IP 偽装は、IP パケットの送信元アドレスが変更され、送信者の ID が隠されるときに発生します。インターネット内のルーティング処理では、パケットを送信する送信先アドレスだけを使用し、送信元アドレスは無視するため、ハッカーは受信側に送信元を知られずにソースを偽装し、破壊的なパケットをシステムに送信できます。偽装は、必ずしも破壊的とは限りませんが、侵入が間近であるシグナルとなります。アドレスは、(侵入者の ID を隠すため) ネットワーク外であることも、特権アクセスができる信頼された内部アドレスの 1 つであることもあります。偽装は、一般的に DoS 攻撃に使用されます。この攻撃については後で説明します。

    IP 偽装は、次のメカニズムの一方または両方を実装することによって防ぐことができます。

    • アクセス制御 送信元アドレスが内部ネットワーク上であるインターネット経由の着信パケットのアクセスを拒否します。

    • RFC 2827 フィルタリング IP 偽装が発信トラフィックで発生していないことを確認することが重要です。偽装されたパケットは、必ずどこかのネットワークから発信されるため、自分のネットワークが偽装元として使用されないようにします。このためには、組織の割り当て内の送信元アドレスを持たずにネットワークから発信されるすべてのトラフィックを阻止する必要があります。ISP も、送信元アドレスが組織のネットワークに属するものかどうかをチェックすることによって、ネットワークから偽装されたトラフィックを削除できる可能性があります。この技術は、RFC 2827 フィルタリングと呼ばれます。実装方法の詳細については、ISP に問い合わせてください。発信トラフィックのフィルタリングは、自社にとって利益はありませんが、他社のネットワークで同様のフィルタリングが実行されば、自社のネットワークに対する偽装攻撃を防げる可能性があります。最新のファイアウォールには、受信する IP 偽装を防ぐ機能があります。

  • サービス拒否 (DoS) 攻撃 サービス拒否 (DoS) 攻撃は、最も防御が困難な攻撃の 1 つです。この攻撃は、ネットワークに対して永続的な損害を与えることがないという点で、他のタイプの攻撃とは異なります。代わりに、特定のコンピュータ (サーバーまたはネットワーク デバイス) を激しく攻撃したり、ビジネスの損失や顧客の悪感情を招くほど極端なレベルまでネットワーク リンクのスループットを低下させたりすることによって、ネットワークの機能を停止させようとします。分散 DoS (DDoS) 攻撃では、あるシステムに的を絞った攻撃が、他の多数のコンピュータから開始されます。攻撃を行うコンピュータは意図的に攻撃を行っているのではなく、そのセキュリティ上の脆弱性から他のコンピュータへの侵入が可能になってしまう場合があります。そして、ハッカーは、他のネットワークに大量のデータを送信するように指示し、それが攻撃を受けている側の ISP またはそのデバイスのいずれかへのリンクを渋滞させています。

  • アプリケーション レイヤ攻撃 アプリケーション レイヤ攻撃は、最近広く知られるようになった攻撃で、通常は Web サーバーやデータベース サーバーなどのアプリケーションの既知の弱点を使用します。特に Web サーバーの場合、問題なのは身元がわからず信頼もできないパブリック ユーザーからアクセスされるように設計されていることです。ほとんどの攻撃は、製品の既知の欠陥を攻撃するため、最大の防御策は、製造元から最新の更新をインストールすることです。悪名高い SQL Slammer ワームは、2003 年 1 月に登場し、非常に短期間で 35,000 のシステムに影響を与えました。このワームは、Microsoft ® SQL Server 2000 の既知の問題を悪用しました。Microsoft は 4 か月前の 2002 年 8 月に既に修正プログラムを発行していましたが、多くの管理者は推奨アップデートを適用しておらず、またワームが使用したポートへのパケットを削除できる適切なファイアウォールも配置していないという事実に付け込まれました。ファイアウォールは、これらの状況ではバックネットに過ぎません。製造元は、特にアプリケーション レイヤ攻撃を避けるために、すべての製品にアップグレードを適用することを推奨しています。

  • ネットワーク偵察 ネットワーク偵察とは、攻撃を開始する前にネットワークをスキャンして有効な IP アドレス、ドメインネームシステム (DNS) 名、および IP ポートを検出することです。ネットワーク偵察はそれ自体無害ですが、使用されているアドレスが検出できれば、有害な攻撃を簡単に仕掛けることができます。実際に、ファイアウォールのログを見ると、ほとんどの侵入はこの性質であることがわかります。典型的なプローブには、リスンしている Transport Control Protocol (TCP) および User Datagram Protocol (UDP) ポート、および Microsoft SQL Server、NetBIOS、HTTP、SMTP によって使用されるその他の既知のリスン ポートのスキャンが含まれます。このようなプローブはすべて応答を探します。これは、サーバーが存在し、これらのいずれかのサービスを実行していることをハッカーに通知します。これらのプローブの多くは、境界ルーターまたはファイアウォールによって阻止できます。多くのサービスが既定で存在しますが、不要なサービスはオフにしてください。ただし、これらの一部をオフにすることによって、ネットワーク診断機能が制限される可能性があります。

  • ウイルス/トロイの木馬 ウイルスは、電子メールの添付ファイルに埋め込まれていることが多いため、一般的にファイアウォールでは検出できません。従来のウイルスはほとんどが汚染したデバイスを破壊するだけでしたが、最近のウイルスの多くは、レプリケートして他のローカル マシンを破壊するか、ウイルスが添付された電子メールを複数送信することによってインターネットに広げることを目的としています。これらのウイルスの多くは、汚染したデバイスにトロイの木馬プログラムをインストールします。トロイの木馬プログラムは、直接的な損害を与えるのではなく、それがインストールされたデバイスからインターネットを経由してハッカーに情報を送ることがあります。これで、そのデバイスについて、実行しているソフトウェアと脆弱な場所がわかるため、ハッカーは的を絞った攻撃を開始できます。ウイルスに対する第一の防御は、デバイス上のウイルス対策ソフトウェアを常に最新のものにすることですが、境界ファイアウォールも、トロイの木馬プログラムの効果を制限する点で役立つ可能性があります。

ページのトップへ

デバイスの定義

ファイアウォールは、2 つのネットワーク間の IP トラフィックの流れを制御するメカニズムです。ファイアウォール デバイスは、通常 OSI モデルの レイヤ3 で動作しますが、同様にそれより高いレベルで動作できるものもあります。

ファイアウォールで提供される一般的な利点は次のとおりです。

  • 内部サーバーをネットワーク攻撃から守る

  • ネットワークの使用およびアクセス ポリシーを適用する

  • トラフィックを監視し、疑わしいパターンが検出されたときに警告を生成する

重要なのは、ファイアウォールで軽減されるのは特定のタイプのセキュリティ リスクだけであることを認識することです。一般的に、ファイアウォールでは、ソフトウェアに脆弱性があるサーバーの場合、発生しうる損害を防ぐことはできません。ファイアウォールは、組織の包括的なセキュリティ アーキテクチャの一部として実装してください。

ページのトップへ

ファイアウォールの機能

ファイアウォールがサポートする機能に応じて、トラフィックは、さまざまな技術を使用して許可またはブロックされます。これらの技術は、ファイアウォールの機能に基づいて、さまざまなレベルの保護を提供します。次に、ファイアウォール機能を単純なものから順にリストします。

  • ネットワークアダプタ入力フィルタ

  • 静的パケットフィルタ

  • ネットワークアドレス変換 (NAT)

  • ステートフルインスペクション

  • 回線レベルインスペクション

  • プロキシ

  • アプリケーションレイヤフィルタリング

複雑な機能を提供するファイアウォールは、より単純な機能もサポートしているのが普通です。しかし、暗黙の機能と実際の機能がわずかに異なる場合があるため、ファイアウォールを選択するときはベンダ情報を注意深く参照する必要があります。ファイアウォールを選択するときは、機能について問い合わせ、それをテストして実際に製品が仕様どおりに動作することを確認する必要があります。

ネットワーク アダプタ入力フィルタ

ネットワーク アダプタ入力フィルタは、着信パケット内の送信元または送信先のアドレスおよびその他の情報を調べ、パケットを阻止するか通過を許可します。これは、着信トラフィックにのみ適用され、発信トラフィックの制御はできません。フィルタは、IP アドレス、UDP および TCP のポート番号、トラフィックのプロトコル、TCP、UDP、および Generic Routing Encapsulation (GRE) を照合します。

Web サーバーを保護する境界ファイアウォールの場合、有効な着信トラフィックが Web サーバー の IP アドレスと、限られた範囲のポート番号 (HTTP は 80、HTTPS は 443 など) にアクセスできるだけにとどめる必要があります。境界ファイアウォールは、この制御を保持する必要がありますが、境界ルーターにも実装する必要があります。

ネットワーク アダプタ入力フィルタを使用すると、ファイアウォールで設定されたルール条件に適合する標準の着信パケットをすばやく効率的に拒否できます。しかし、この形式のフィルタリングは、IP トラフィックのヘッダーを照合するだけで、フィルタされるトラフィックが IP 標準に従い、またフィルタを回避するための細工がされていないことを基本的な前提として動作しているため、簡単に回避ができます。

静的パケット フィルタ

静的パケット フィルタは、単純に IP ヘッダーを照合して、トラフィックのインターフェイス通過を許可するかどうかを決定するという点で、ネットワーク アダプタ入力フィルタと似ています。ただし、静的パケット フィルタは、インターフェイスへの着信通信だけでなく発信も制御できます。また、一般的に、静的パケット フィルタは、IP ヘッダーに肯定 (ACK) ビットが設定されているかどうかをチェックする機能をネットワーク アダプタ フィルタリングに追加できます。ACK ビットは、パケットが新規要求か、元の要求に対する応答要求かを示す情報を与えます。パケットがそれを受信しているインターフェイスによってもともと送信されていることは検証されません。単に IP ヘッダーの規則に基づいて、インターフェイスに着信するトラフィックが応答トラフィックのように見えるかどうかだけがチェックされます。

この技術は、TCP プロトコルだけに適用され、UDP プロトコルには適用されません。ネットワーク アダプタ入力フィルタリングと同様に、静的パケット フィルタリングも非常に高速ですが、その機能は限られているため、特に細工されたトラフィックであればすり抜けることができます。

ネットワーク アダプタ入力フィルタリングと同じく、静的パケット フィルタリングも、境界ファイアウォールだけでなく境界ルーターにも実装されなければなりません。

ネットワーク アドレス変換

世界中の IP アドレスの範囲のうち、特定のアドレスの範囲が "プライベート アドレス" として割り当てられています。これらは、組織内で使用されることが想定され、インターネット上では意味がありません。これらの IP アドレスへのトラフィックは、インターネット経由ではルーティングできません。したがって、プライベート アドレスを組織内のデバイスに割り当てると、侵入からある程度保護されます。しかし、これらの内部デバイスは、インターネットにアクセスする必要があることが多いため、ネットワーク アドレス変換 (NAT) によってプライベート アドレスがインターネット アドレスに変換されます。

NAT は厳密にはファイアウォール技術とはいえませんが、サーバーの本当の IP アドレスを隠すことで、攻撃者がサーバーについての貴重な指紋情報を入手するのを阻止します。

ステートフル インスペクション

ステートフル インスペクションでは、すべての発信トラフィックが状態テーブルに記録されます。接続トラフィックがインターフェイスに返されると、状態テーブルで、このインターフェイスから発信されたトラフィックであることが確認されます。ステートフル インスペクションは、静的パケット フィルタリングよりもわずかに低速ですが、発信トラフィックの要求と一致した場合のみトラフィックの通過が許可されることを保証します。状態テーブルには、送信先 IP アドレス、送信元 IP アドレス、呼び出されているポート、および発信元ホストなどのアイテムが含まれています。

ファイアウォールには、より多くの情報 (送受信された IP フラグメントなど) を状態テーブルに格納するものもあります。ファイアウォールは、フラグメント化された情報のすべてまたは一部だけが返されたときにトラフィックが処理されたことを検証できます。ファイアウォールのベンダが異なれば、ステートフル インスペクション機能の実装も異なります。したがって、ファイアウォールのドキュメントを注意深く参照する必要があります。

ステートフル インスペクション機能は、一般的に、ネットワーク偵察と IP 偽装によって生じるリスクを軽減するのに役立ちます。

回線レベル インスペクション

回線レベル フィルタリングでは、接続またはパケットに対するものとして、セッションを検査できます。セッションは、ユーザー要求に対してのみ確立され、場合によっては複数の接続を含みます。回線レベル フィルタリングでは、FTP やストリーミング メディアなどの二次接続のプロトコルを組み込みでサポートしています。この機能は、ネットワーク偵察、DoS、IP 偽装の各攻撃によって生じるリスクを軽減するのに役立ちます。

プロキシ ファイアウォール

プロキシ ファイアウォールは、クライアントの代わりに情報を要求します。前に説明したファイアウォール技術とは異なり、クライアントとサービスをホストするサーバー間では、直接の通信は発生しません。代わりに、プロキシ ファイアウォールがクライアントの代わりに情報を収集し、サービスから受け取ったデータをクライアントに返します。プロキシ サーバーはこの情報を 1 つのクライアントのために収集するため、ディスクまたはメモリにも内容をキャッシュします。別のクライアントが同じデータを要求した場合、要求をキャッシュから満たすことができるため、ネットワーク トラフィックおよびサーバーの処理時間を軽減できます。

FTP Read-only および HTTP セッションなどの非暗号化セッションの場合、プロキシ ファイアウォールは、実際はクライアントとサーバーの両方とのセッションを個別に作成するため、この 2 つの直接接続は存在しません。一方、暗号化セッションでは、プロキシ サーバーは、トラフィックの通過を許可する前にヘッダー情報が SSL (Secure Sockets Layer) 通信の標準に準拠しているかどうかを検証します。ただし、通過するデータはクライアントおよびサーバーによってエンドツーエンドの暗号化がされているため、プロキシではデータを検査できません。

前に説明したファイアウォール技術に加えてプロキシ サーバーを使用する利点は次のとおりです。

  • クライアントおよびサーバー間の直接接続がない 通常、クライアントとサーバーは、互いに直接接続されません。直接接続される場合 (SSL など) でも、プロトコル ヘッダーおよびトラフィックの検査が行われます。

  • サーバーは頻繁に要求されるサイトのコンテンツをキャッシュできる キャッシュすることで、帯域幅を節約でき、不必要な要求が環境から発するのを避けることもできます。

  • 通過するプロトコルの検証 通信が通過するポート番号を検証するだけでなく、プロキシ サーバーは、通過するプロトコルも検証します。検査の対象として最も一般的なプロトコルは、FTP Download only、HTTP、SSL、および一部のテキスト メッセージ サービス (テキストのみ、ビデオ、オーディオ、またはファイル転送なし) です。

  • ユーザーの ID に基づいた要求の転送を設定できる プロキシ サーバーは、通常、送信元 IP、ポート、またはプロトコルだけでなく、ユーザーの ID に基づいて要求を転送するように設定できます (つまり、特定のユーザーに対してのみ制限を設定できます)。

プロキシ サーバーの主な短所は、プロトコルインスペクションの検査の実行に非常に大きい処理能力を必要とする点です。処理能力は常に向上しているため、これはあまり問題でなくなっています。それでも、プロキシ サーバーは、ステートフルまたはパケット フィルタリング ファイアウォールのスループットには達していません。プロトコル インスペクションによる長所を追加する必要があるのは、おそらく、高速ネットワークがホーム ユーザーに広がっているところです。また、信頼されるインターネット サービスを提供するための法的な義務がほとんどまたはまったくない ISP が接続する、信頼されないノードへのインターネット接続がどんどん使用できるようになっているところにも必要と思われます。

プロキシ機能は、一般的に、ネットワーク偵察、DoS、IP 偽装、ウイルスまたはトロイの木馬、一部のアプリケーション レイヤ攻撃によるリスクを軽減するのに役立ちます。

アプリケーション レイヤ フィルタリング

最も高度なレベルのファイアウォール トラフィック インスペクションは、アプリケーション レベルのフィルタリングです。適切なアプリケーション フィルタでは、特定のアプリケーションのデータ ストリームを分析でき、それがファイアウォールを通過するときにデータの検査、スクリーニングまたはブロッキング、リダイレクト、および修正を含むアプリケーション固有の処理を提供します。

このメカニズムは、安全でない SMTP コマンド、または内部ドメインネームシステム (DNS) サーバーに対する攻撃などの防御に使用されます。一般的に、ウイルス検出、字句解析、およびサイト分類などのコンテンツ スクリーニング用のサード パーティ製ツールを、ファイアウォールに追加することができます。

アプリケーション レイヤ ファイアウォールには、それを通過するトラフィックに基づいて、多くの異なるプロトコルを検査する機能があります。インターネット トラフィック (HTTP、FTP Download、SSL など) を通常検査するプロキシ ファイアウォールとは異なり、アプリケーション レイヤ ファイアウォールは、トラフィックがファイアウォールを通過する方法を、非常にきめ細かく制御できます。たとえば、アプリケーション レイヤ ファイアウォールでは、ファイアウォールの境界内から発信された UDP トラフィックだけに通過を許可することができます。インターネット ホストがステートフル ファイアウォールをポート スキャンして、その環境への DNS トラフィックが許可されるかどうかを調べる場合、ポート スキャンはおそらく、DNS に関連付けられた既知のポートが開かれていることを示します。しかし、いったん攻撃が展開されると、ステートフル ファイアウォールは要求が内部から発信されたものではないため、これを拒否します。アプリケーション レイヤ ファイアウォールは、トラフィックが内部から発信されたかどうかに基づいて、ポートを動的に開くことがあります。

アプリケーション レイヤ ファイアウォール機能は、IP 偽装、DoS、一部のアプリケーション レイヤ攻撃、ネットワーク偵察、およびウイルスまたはトロイの木馬による攻撃のリスクを軽減するのに役立ちます。アプリケーション レイヤ ファイアウォールの短所は、非常に大きい処理能力を必要とするという点でプロキシと同様です。また、ステートフルまたは静的フィルタリング ファイアウォールよりも、トラフィックの通過が非常に遅くなるのが普通です。アプリケーション レイヤ ファイアウォールを使用する場合の最重要事項は、ファイアウォールがアプリケーション レイヤで何を実行できるかを特定することです。

アプリケーション レイヤ フィルタリングを使用すれば、ポート上で適切なトラフィックだけを通過させることができます。パケット フィルタまたはステートフル インスペクション ファイアウォールは、単にポートと送信元および送信先 IP アドレスを検査するだけですが、アプリケーション レイヤ フィルタリング機能をサポートするファイアウォールは、通信で使用されるデータとコマンドの両方を検査できます。

アプリケーション レイヤ機能をサポートするファイアウォールのほとんどは、プロキシで認識されるメッセージング サービス、HTTP、および FTP などのクリア テキスト トラフィックに対するアプリケーション レイヤ フィルタリングだけを備えています。この機能をサポートするファイアウォールはその環境を出入りするトラフィックを管理できることに留意することが大切です。この機能には、DNS トラフィックがファイアウォールを通過するときにそれを検査して DNS 固有のコマンドを探すことができるという利点もあります。この追加の保護レイヤにより、ユーザーまたは攻撃者は許可されるタイプのトラフィック内に情報を隠すことができません。

組織にオンライン ストアがあり、クレジット カード情報およびその他の顧客の個人情報を収集する場合、万全を期して情報の保護に最高レベルの対策を講じます。この場合、このタイプの高セキュリティ データは、SSL (Secure Sockets Layer) プロトコルを使用して、ユーザーの PC と組織の Web サーバー間で暗号化されます。

重要なのは、アプリケーション レイヤ機能が SSL と組み合わせて使用されるケースを区別することです。SSL が暗号化されると、プロトコル コマンドが暗号化されたパケット内に置かれるため、ファイアウォールはコマンドを認識できません。アプリケーション レイヤ機能をサポートする各ファイアウォールでは、この処理方法がさまざまなため、どのファイアウォールを選択した場合でも、そのドキュメントのただし書きを読むことが重要です。

問題は、いったん SSL セッションが確立され暗号化がネゴシエートされた場合に、データを検査できるデバイスがないことです。たとえば、プロキシ タイプのアプリケーション レイヤ機能をサポートするファイアウォールを使用するクライアントが、セキュリティで保護された Web サーバーへの接続を代理で開始するようにファイアウォールに要求するとします。ファイアウォールとサーバーは、TCP 接続の初期セットアップを行い、ファイアウォールはクライアントへの接続を渡してサーバーとの暗号化を設定します。接続がクライアントに渡された後で、ファイアウォールがデータを検査することはできません。

アプリケーション レイヤ機能がインターネット サービスの公開に使用される場合は、次のオプションを使用できます。

  • ファイアウォールで SSL トラフィックを終了する これによりファイアウォールは、この機能によって、インターネット サービスのデータを解読して、着信 SSL 接続が適正な Web トラフィックであることを検査したり、トラフィックを破棄したりできます。

  • ファイアウォールから公開される Web サービスへの SSL トラフィックを再生成する これは、基本的な資格情報 (クリア テキストのユーザー名およびパスワードなど) が SSL トンネル内で使用されている場合に特に役立ちます。ファイアウォールの内部インターフェイスと公開される Web サービス間のトラフィックを見つけることができても、トラフィックが再暗号化されているので攻撃はできません。

  • SSL トラフィックがファイアウォールを通過してバックエンド サーバーに到達することを許可する これは、実質的には、内部クライアントと外部サーバー間の SSL 接続の逆アプローチです。

これらのオプションは、環境への暗号化されたセッションのトンネリングがどの程度まで許可されるかを制御する方法を多数提供します。一般的に、暗号化されたトラフィックを環境のエッジにより近いところまで維持できる方がよいとされます。これは、そこまでの間、トンネル内部を実際に見ることがだれにもできないからです。

ページのトップへ

ファイアウォールのクラス

このセクションでは、それぞれが特定の機能を提供する多数のファイアウォール クラスを示します。IT アーキテクチャ設計の特定の要件に応じて、特定のファイアウォール クラスを使用できます。

ファイアウォールをクラスに分けることでサービスのニーズからハードウェアを分離でき、そのサービス要件をクラスの機能と照合させることができます。あるファイアウォールが特定のクラスに当てはまっていれば、そのクラスのすべてのサービスをサポートしていると考えることができます。

次のようなさまざまなクラスがあります。

  • パーソナル ファイアウォール

  • ルーター ファイアウォール

  • 下位ハードウェア ファイアウォール

  • 上位ハードウェア ファイアウォール

  • サーバー ファイアウォール

これらのクラスは一部重なっていることを理解することが重要です。これは設計によって異なります。重なっている部分は、あるタイプのファイアウォール ソリューションが複数のクラスにまたがっていることを示します。多くのクラスは、同一ベンダの複数のハードウェア モデルで提供されていることもあります。これは、現在および将来のニーズに最も適したモデルを組織が選択できるようにするためです。

ファイアウォール製品は価格と機能セット以外に、性能 (またはスループット) に基づいて分類できます。しかし、多くの製造元はファイアウォールのスループットの数字を公表していません。公表されているもの (主にハードウェア ファイアウォール デバイス) もありますが、標準的な測定処理に従っていないため、製造元の間の比較は困難です。たとえば、ある測定値はビット/秒 (bps) ですが、ファイアウォールは実際には IP パケットを通すため、レートの測定で使用されたパケット サイズが含まれていない場合、この測定は意味がありません。

次のセクションでは、各ファイアウォール クラスを詳細に定義します。

ページのトップへ

クラス 1 - パーソナル ファイアウォール

パーソナル ファイアウォールは、パーソナル コンピュータにシンプルなファイアウォール機能を提供するソフトウェア サービスとして定義されます。ダイヤルアップ接続が減ってインターネット常時接続が増えてきたのに伴い、パーソナル ファイアウォールも普及してきました。

パーソナル ファイアウォールは、1 台のコンピュータを保護するために設計されていますが、それがインストールされているコンピュータがそのインターネット接続を内部ネットワーク上の他のコンピュータと共有する場合は、小規模のネットワークを保護することもできます。ただし、パーソナル ファイアウォール ソフトウェアのパフォーマンスには限界があり、それがインストールされているパーソナル コンピュータのパフォーマンスは低下します。保護メカニズムは、通常 IP およびポート アドレスのブロックに限られるため、専用のファイアウォール ソリューションほど効果的でないのが普通です。しかし、一般的にパーソナル コンピュータで必要な保護のレベルは高くありません。

パーソナル ファイアウォールは、オペレーティング システムに付属しているか、非常に低コストで提供されます。このファイアウォールはパフォーマンスと機能が限定されているため、想定した目的には合っていたとしても、小規模のサテライト オフィスであれ、企業での使用を考慮すべきではありません。ただし、ラップトップ コンピュータを使用するモバイル ユーザーには特に適しています。

パーソナル ファイアウォールの機能と価格には大きな幅があります。しかし、特にラップトップでは、特定の機能がなくてもそれほど重要ではない場合があります。次の表に、パーソナル ファイアウォールで一般的に使用できる機能を示します。

1: クラス 1 - パーソナルファイアウォール

ファイアウォール属性 サポート状況の評価
サポートされている基本機能 ほとんどのパーソナル ファイアウォールは、静的パケット フィルタ、NAT、およびステートフル インスペクションをサポートしていますが、回線レベルのインスペクションやアプリケーション レイヤ フィルタリングをサポートしているのは一部だけです。
構成 自動 (手動オプションも使用可能)
IP アドレスの阻止または許可 あり
プロトコルまたはポート番号の阻止または許可 あり
着信 ICMP メッセージの阻止または許可 あり
発信アクセスの制御 あり
アプリケーションの保護 おおむね可能
音声または画面による警告 おおむね可能
ログ ファイルへの攻撃状況の記録 おおむね可能
リアルタイム警告 おおむね可能
VPN サポート 通常は不可
リモート管理 通常は不可
製造元によるサポート 製品ごとに大幅に異なる
高可用性オプションの有無 なし
同時に確立可能なセッション数 1 ~ 10
モジュールのアップグレード性 (ハードウェアまたはソフトウェア) なし、または限定的
価格帯 低 (一部は無料)

パーソナル ファイアウォールには、次の長所と短所があります。

長所

パーソナル ファイアウォールの長所は次のとおりです。

  • 低コスト
    必要なライセンス数がわずかである場合は、パーソナル ファイアウォールは安価なオプションです。Microsoft Windows® XP オペレーティング システムには、パーソナル ファイアウォール機能が組み込まれています。他のバージョンの Windows またはその他のオペレーティング システムで機能する製品は、無料またはわずかなコストで入手できます。

  • 構成が容易
    パーソナル ファイアウォール製品は、構成オプションが簡単明瞭で、すぐ使えるような基本構成を備えているのが普通です。

短所

パーソナル ファイアウォールの短所は次のとおりです。

  • 一元管理が困難
    パーソナル ファイアウォールは、各クライアントで設定する必要があるため、管理負荷が増えます。

  • 基本制御機能のみ
    構成は、静的パケット フィルタリングとアクセス権に基づくアプリケーション保護機能のみの組み合わせであるのが普通です。

  • 性能上の制約
    パーソナル ファイアウォールは、1 台のパーソナル コンピュータを保護するように設計されています。小規模なネットワークのルーターとして機能するコンピュータでこのファイアウォールを使用すると、パフォーマンスの低下を招きます。

ページのトップへ

クラス 2 - ルーター ファイアウォール

ルーターは、通常、前に説明したファイアウォール機能を 1 つまたは複数サポートしています。ルーターは、インターネット接続用に設計された下位デバイスと、従来からある下位ルーターにさらに分けることができます。下位ルーターは、特定の IP アドレスおよびポート番号をブロックまたは許可する基本的なファイアウォール機能を提供し、また、NAT を使用して内部の IP アドレスを隠します。インターネットからの侵入をブロックするために最適化されたファイアウォール機能を標準で提供することもよくあります。構成の必要はありませんが、さらにきめ細かく構成することもできます。

上位ルーターでは、ping などのより明らかな侵入を禁止することによって、また、ACL を使用して他の IP アドレスおよびポートの制限を実装することによって、アクセスの制御を強化するように設定できます。その他のファイアウォール機能が使用できるものあり、一部のルーターではステートフル パケット フィルタリングが提供されます。上位ルーターのファイアウォール機能は、低価格でスループットが小さいハードウェア ファイアウォール デバイスの機能とほぼ同じです。

2: クラス 2 - ルーターファイアウォール

ファイアウォール属性 サポート状況の評価
サポートされている基本機能 大半のルーター ファイアウォールは、静的パケット フィルタリング機能をサポートしています。下位ルーターは、一般的に NAT をサポートしています。上位ルーターには、ステートフル インスペクションやアプリケーション レイヤ フィルタリングをサポートしているものもあります。
構成 下位ルーターは一般に自動 (手動オプションあり)。上位ルーターは一般に手動。
IP アドレスの阻止または許可 あり
プロトコル/ポート番号の阻止または許可 あり
着信 ICMP メッセージの阻止または許可 あり
発信アクセスの制御 あり
アプリケーションの保護 おおむね可能
音声または画面による警告 おおむね可能
ログ ファイルへの攻撃状況の記録 多くの場合可能
リアルタイム警告 多くの場合可能
VPN のサポート 下位ルーターでは一般にサポートしていますが、上位ルーターでは一般的にサポートしていません。VPN 処理専用の機器またはサーバーも使用することができます。
リモート管理 あり
製造元によるサポート 下位ルーターでは一般に限定的、上位ルーターの場合は充実しています。
高可用性オプションの有無 下位機種: なし - 上位機種: あり
同時に確立可能なセッション数 10 ~ 1,000
モジュールのアップグレード性 (ハードウェアまたはソフトウェア) 下位機種: なし - 上位機種: 限定的
価格帯 低~高

ルーター ファイアウォールには、次の長所と短所があります。

長所

ルーター ファイアウォールの長所は次のとおりです。

  • 低コストである
    既存のルーター ファイアウォール機能を有効にすれば、ルーターのコストが増えたり、ハードウェアを追加する必要がありません。

  • 構成を統合可能
    ルーター ファイアウォール構成は、ルーターが通常の操作用に構成されているときに完了するため、管理の負荷は最小限で済みます。ルーター ファイアウォールの導入に特に適している環境は、サテライト オフィスです。これは、ネットワーク機器とネットワーク管理作業が簡素化されるからです。

  • 投資の保護
    操作スタッフはルーター ファイアウォールの構成および管理に慣れているため、再トレーニングは必要ありません。別途ハードウェアを設置する必要がないので、ネットワーク配線とネットワーク管理作業が簡素化されます。

短所

ルーター ファイアウォールの短所は次のとおりです。

  • 限られた機能
    一般的に、下位ルーターは、基本的なファイアウォール機能だけを提供します。上位ルーターでは、より高度なレベルのファイアウォール機能が提供されるのが普通ですが、かなりの構成が必要な場合があります。その多くは見落としやすい制御を追加して行われるため、正しく設定することが少し困難になっています。

  • 基本制御機能のみ
    構成は、静的パケット フィルタリングとアプリケーションの権限ベースのアプリケーション保護機能のみの組み合わせであるのが普通です。

  • パフォーマンスへの影響
    ルーターをファイアウォールとして使用すると、ルーターのパフォーマンスが損なわれ、本来のタスクであるルーティング機能の速度が低下します。

  • ログ ファイルのパフォーマンス
    異常な動作を検出するためにログ ファイルへの書き込みを行うと、ルーターの性能が大幅に低下する恐れがあります。特に、攻撃されている最中は性能低下が顕著になります。

ページのトップへ

クラス 3 - 下位ハードウェア ファイアウォール

ハードウェア ファイアウォール市場の下位にあるのは、構成がほとんどまたはまったく必要ないプラグ アンド プレイ ユニットです。これらのデバイスには、ほとんど、スイッチや VPN の機能も組み込まれています。下位ハードウェア ファイアウォールは、小規模事業と、大きい組織の内部での使用をターゲットにしています。一般的に、静的フィルタリング機能と基本的なリモート管理機能が提供されます。大手製造元のファイアウォール製品は、その製造元の上位機種と同じソフトウェアを採用している場合があります。この場合、上位機種が必要になった場合にアップグレードできます。

3: クラス 3 - 下位ハードウェアファイアウォール

ファイアウォール属性 サポート状況の評価
サポートされている基本機能 ほとんどの下位ハードウェア ファイアウォールは、静的パケット フィルタリング機能および NAT をサポートしています。また、ステートフル インスペクションやアプリケーション レイヤ フィルタリング機能をサポートしている場合もあります。
構成 自動 (手動オプションも使用可能)
IP アドレスの阻止または許可 あり
プロトコル/ポート番号の阻止または許可 あり
着信 ICMP メッセージの阻止または許可 あり
発信アクセスの制御 あり
アプリケーションの保護 通常はなし
音声または画面による警告 通常はなし
ログ ファイルへの攻撃状況の記録 通常はなし
リアルタイム警告 通常はなし
VPN のサポート 製品ごとに異なる
リモート管理 あり
製造元によるサポート 限定的
高可用性オプションの有無 通常はなし
同時に確立可能なセッション数 10 ~ 7500
モジュールのアップグレード性 (ハードウェアまたはソフトウェア) 限定的
価格帯

下位ハードウェア ファイアウォールには、次の長所と短所があります。

長所

下位ハードウェア ファイアウォールの長所は次のとおりです。

  • 低コスト
    下位ファイアウォールは、安価で購入できます。

  • シンプルな構成
    構成はほとんど必要ありません。

短所

下位ハードウェア ファイアウォールの短所は次のとおりです。

  • 限られた機能
    一般的に、下位ハードウェア ファイアウォールは、基本的なファイアウォール機能だけを提供します。また、並列実行して冗長構成にすることはできません。

  • 低いスループット
    下位のハードウェア ファイアウォールは、高いスループット接続を処理するように設計されていないため、ボトルネックの原因になる可能性があります。

  • 製造元からの限定されたサポート
    低コストの製品であるため、製造元のサポートは、電子メールと Web サイトに限定されるのが一般的です。

  • 限定されたアップグレード性
    通常、ハードウェア アップグレードは用意されていませんが、ほとんどの場合、定期的なファームウェア アップグレードを使用できます。

ページのトップへ

クラス 4 - 上位ハードウェア ファイアウォール

ハードウェア ファイアウォール市場の上位にあるのは、パフォーマンスも障害許容力も高い製品で、企業またはサービス プロバイダに適しています。これらの製品は一般に、最高レベルの保護機能を備えており、ネットワークのパフォーマンスを低下させることはありません。

障害許容力は、ホット スタンバイ ユニットとして動作するファイアウォールを増設します。これは、自動的にステートフル同期化を行って現在の接続テーブルを維持します。

侵入は常時発生するため、インターネットに接続するすべてのネットワークでファイアウォールを使用する必要があります。DoS 攻撃、盗用、データ破壊は絶えず試行されているからです。中央または本社に展開する場合は、上位ハードウェア ファイアウォール ユニットを考慮する必要があります。

4: 上位ハードウェアファイアウォール

ファイアウォール属性 サポート状況の評価
サポートされている基本機能 大半の上位ハードウェア ファイアウォールは、静的パケット フィルタリング機能と NAT 機能をサポートしています。また、ステートフル インスペクションやアプリケーション レイヤ フィルタリングをサポートしているものもあります。
構成 通常は手動
IP アドレスの阻止または許可 あり
プロトコル/ポート番号の阻止または許可 あり
着信 ICMP メッセージの阻止または許可 あり
発信アクセスの制御 あり
アプリケーションの保護 製品による
音声または画面による警告 あり
ログ ファイルへの攻撃状況の記録 あり
リアルタイム警告 あり
VPN サポート 製品による
リモート管理 あり
製造元によるサポート 充実している
高可用性オプションの有無 あり
同時に確立可能なセッション数 7,500 ~ 500,000
モジュールのアップグレード性 (ハードウェアまたはソフトウェア) あり
価格帯

上位ハードウェア ファイアウォールには、次の長所と短所があります。

長所

上位ハードウェア ファイアウォールの長所は次のとおりです。

  • 高いパフォーマンス
    ハードウェア ファイアウォール製品はファイアウォール専用機器として設計されており、高度な方法で侵入を阻止するとともに、性能低下を最小限に抑えています。

  • 高可用性
    上位ハードウェア ファイアウォールどうしを接続することにより、可用性を向上させ、また負荷を分散することができます。

  • モジュール式システム
    ハードウェアとソフトウェアの両方を新しい要件に合わせてアップグレードできます。ハードウェアのアップグレードには、イーサネット ポートの追加が含まれる場合があります。一方、ソフトウェアのアップグレードには、新しい侵入の方法の検出が含まれる場合があります。

  • リモート管理
    上位ハードウェア ファイアウォールは、対応する下位製品よりも優れたリモート管理機能を提供します。

  • 障害許容力
    上位ハードウェア ファイアウォールは、可用性と障害許容力を確保するための機能を備えていることがあります。たとえば、同一製品を増設してホット スタンバイ構成やアクティブ スタンバイ構成にすることができます。

  • アプリケーション レイヤ フィルタリング
    対応する下位製品とは異なり、上位ハードウェア ファイアウォールは、OSI モデルの L4、L5、L6、L7 の各レイヤで既知のアプリケーションのフィルタリングを提供します。

短所

上位ハードウェア ファイアウォールの短所は次のとおりです。

  • コストが高い
    上位ハードウェア ファイアウォールは、総じて高価です。100 ドル程度で購入できる製品もありますが、エンタープライズ ファイアウォールのコストはよりいっそう高くなります。これは、価格が並列セッションの数、スループット、可用性要件に基づいている場合が多いからです。

  • 複雑な構成と管理
    上位ハードウェア ファイアウォールは、下位ファイアウォールと比較してずっと能力が高いため、設定と管理もより複雑になります。

ページのトップへ

クラス 5 - 上位サーバー ファイアウォール

ファイアウォール機能を上位サーバーに追加し、堅牢で高速な保護を標準のハードウェア システムおよびソフトウェア システム上に提供するさまざまな製品があります。このような製品を使用する利点は、よく知られているハードウェアやソフトウェアを使用することで、資産品目が減少し、研修や管理が単純になり、信頼性と拡張性が得られることです。上位ハードウェア ファイアウォールの多くは、業界標準のオペレーティング システムを稼動させる (ただし外見からはそのことがわかりません) 業界標準のハードウェア プラットフォーム上に実装されるため、技術面またはパフォーマンスの点でサーバー ファイアウォールとほとんど異なりません。上位ハードウェア ファイアウォールが実装されているオペレーティング システムは識別できるので、サーバー ファイアウォール機能をアップグレードし、クラスタ化などの手法によって障害許容力を高めることができます。

サーバー ファイアウォールは一般的に使用されているオペレーティング システムを稼動させるサーバーであるため、(ハードウェア ファイアウォールのように 1 つの販売元からだけではなく) さまざまな製造元から提供される別のソフトウェアや機能をファイアウォールに追加できます。よく知られたオペレーティング システムを使用することは、より効果的なファイアウォール保護につながります。いくつかの他のクラスのファイアウォールでは、適切で完全な構成を行うのに膨大な専門知識が必要になります。

このクラスは、特定のハードウェア プラットフォームやソフトウェア プラットフォームに対して多量の投資が行われている場合に適しています。ファイアウォールにも同一のプラットフォームを使用することで、管理タスクが簡単になるためです。

このクラスの持つキャッシング機能も非常に効果があります。

5: クラス 5 - 上位サーバーファイアウォール

ファイアウォール属性 サポート状況の評価
サポートされている機能 大半の上位サーバー ファイアウォールは、静的パケット フィルタリング機能と NAT 機能をサポートしています。さらに、ステートフル インスペクションまたはアプリケーション レイヤ フィルタリング、またはその両方がサポートされる場合もあります。
構成 通常は手動
IP アドレスの阻止または許可 あり
プロトコル/ポート番号の阻止または許可 あり
着信 ICMP メッセージの阻止または許可 あり
発信アクセスの制御 あり
アプリケーションの保護 製品による
音声または画面による警告 あり
ログ ファイルへの攻撃状況の記録 あり
リアルタイム警告 あり
VPN サポート 製品による
リモート管理 あり
製造元によるサポート 充実している
高可用性オプションの有無 あり
同時に確立可能なセッション数 50,000 以上 (複数のネットワーク セグメントにわたる数)
モジュールのアップグレード性 (ハードウェアまたはソフトウェア) あり
その他 一般的に使用されるオペレーティング システム
価格帯

サーバー ファイアウォールには一般的に、次に示す長所と短所があります。

長所

サーバー ファイアウォールの長所は次のとおりです。

  • 高いパフォーマンス
    適切な規模のサーバー上で実行した場合、これらのファイアウォールは高いパフォーマンスを発揮できます。

  • サービスの統合
    サーバーファイアウォールは、その下層で稼動しているオペレーティング システムのさまざまな機能を使用できます。たとえば、Microsoft Windows Server 2003 オペレーティング システム上で稼動するファイアウォール ソフトウェアは、オペレーティング システムに組み込まれているネットワーク負荷分散機能を使用できます。同様に、Windows Server 2003 オペレーティング システムの機能を使用することで、ファイアウォールは VPN サーバーとしても機能できます。

  • 可用性、障害許容力、および拡張性
    このファイアウォールは、標準のパーソナル コンピュータ ハードウェア上で稼動するため、そのパーソナル コンピュータ プラットフォームの持つ可用性、障害許容力、および拡張性をすべて備えます。

短所

サーバー ファイアウォールの短所は次のとおりです。

  • 上位ハードウェアが必要
    高いパフォーマンスを発揮するために、サーバー ファイアウォール製品は、中央処理装置 (CPU)、メモリ、およびネットワーク インターフェイスについて上位なハードウェアを必要とします。

  • 脆弱性
    サーバー ファイアウォール製品は、よく知られたオペレーティング システム上で稼動するため、オペレーティング システムやサーバー上で実行されるその他のソフトウェアの脆弱性に影響されやすくなっています。ハードウェア ファイアウォールについても同様のことが言えますが、通常、ハードウェア ファイアウォールのオペレーティング システムは、ほとんどのサーバーのオペレーティング システムに比べ、攻撃者に知られていません。

ページのトップへ

境界ファイアウォールの使用法

境界ファイアウォールは、組織の境界の外側からのユーザーの要求に応えるために存在します。ユーザーには次のタイプがあります。

  • 信頼関係にあるユーザー
    組織の従業員。たとえば、事業所の従業員、リモート ユーザー、在宅勤務者。

  • 半信頼関係にあるユーザー
    信頼関係にないユーザーに比べて高いレベルの信頼関係がある、組織のビジネス パートナー。ただし、この信頼関係は通常、組織の従業員に対するものと比較して低いレベルです。

  • 信頼関係にないユーザー
    たとえば、組織が公開している Web サイトのユーザー。

境界ファイアウォールは侵入者がネットワークの内部に進行するために崩す必要のある障壁であるため、ここが外部からの攻撃に特にさらされているという事実を考慮することは重要です。境界ファイアウォールは、侵入者にとって明確な突破目標になります。

境界として使用されるファイアウォールは、外界に通じる組織の門です。組織によっては、ここにルーター ファイアウォールを設置することもありますが、通常、巨大な組織の多くで、ここに設置するファイアウォールのクラスは、上位ハードウェア ファイアウォールまたは上位サーバー ファイアウォールです。境界ファイアウォールとして使用するファイアウォールのクラスを選択する場合に、検討する必要のある項目がいくつかあります。次の表に、これらの検討事項を示します。

6: 境界ファイアウォールのクラスを選択する場合の検討事項

検討事項 この役割で導入されるファイアウォールの通常の特性
セキュリティ管理者により指定される必須のファイアウォール機能 これは、要求されるセキュリティの程度と、機能のコスト、およびセキュリティの強化が原因となるパフォーマンスの低下とのバランスです。多くの組織が、境界ファイアウォールに対して最大限のセキュリティを期待しますが、パフォーマンスへの悪影響を避けたいと考える組織もあります。たとえば、電子商取引を伴わない大規模な Web サイトでは、アプリケーション レイヤ フィルタリングの代わりに静的パケット フィルタを使用することで得られる高レベルのスループットを重視し、低レベルのセキュリティを許可する場合があります。
デバイスを専用の物理デバイスにしてその他の機能を提供するか、または物理デバイス上の論理ファイアウォールにするかについての選択 インターネットとエンタープライズのネットワークとの間のゲートウェイとしては、境界ファイアウォールは多くの場合、専用デバイスとして導入されます。これは、攻撃される可能性のある箇所を最小にし、デバイスが破られた場合に発生する内部ネットワークへのアクセスの可能性を最小限にするためです。
組織の管理体系により指定されるデバイスに対する管理性要件 通常、何らかの形式のログ記録が使用されますが、イベント監視のメカニズムもしばしば要求されます。ここではリモート管理は許可されません。これは、悪意のあるユーザーがリモートからデバイスを管理するのを防止するためです。管理はローカルの管理者だけに許可されます。
組織内のネットワークおよびサービスの管理者により決定されるスループット要件 これは環境によってさまざまですが、デバイスまたはサーバー内のハードウェアの能力、および使用するファイアウォール機能により、ネットワーク全体で使用可能なスループットは決定されます。
可用性要件 巨大なエンタープライズにおけるインターネットへのゲートウェイとして、高レベルの可用性がしばしば要求されます。特に、商用の Web サイトを保護するための境界ファイアウォールでは高い可用性が求められます。

ページのトップへ

境界ファイアウォールのルール

次の説明では要塞ホストという用語が出てきますが、これは、境界ネットワーク内に位置し、内部ユーザーと外部ユーザーの両方にサービスを提供するサーバーのことです。要塞ホストの例としては、Web サーバーや VPN サーバーがあります。

通常、境界ファイアウォールでは、既定または構成により、次のルールを実装することが必要になります。

  • 明示的に許可される場合を除いて、すべてのトラフィックを拒否する。

  • ソース IP アドレスに内部ネットワークまたは境界ネットワークのアドレスが設定されている着信パケットをブロックする。

  • ソース IP アドレスに外部のアドレスが設定されている発信パケットをブロックする (要塞ホストから送信されるトラフィックだけが許される)。

  • DNS リゾルバからインターネット上の DNS サーバーへの UDP ベースの DNS 照会および応答を許可する。

  • インターネット上の DNS サーバーから DNS アドバタイザへの UDP ベースの DNS 照会および応答を許可する。

  • UDP ベースの外部クライアントによる DNS アドバタイザへの照会、および回答の提供を許可する。

  • インターネット上の DNS サーバーから DNS アドバタイザへの TCP ベースの DNS 照会および応答を許可する。

  • SMTP 送信要塞ホストからインターネットへの送信メールを許可する。

  • インターネットから SMTP 受信要塞ホストへの受信メールを許可する。

  • プロキシ サーバーからインターネットに到達する、プロキシによって開始されたトラフィックを許可する。

  • インターネットからのプロキシ応答を境界上のプロキシ サーバーに送るのを許可する。

ページのトップへ

ハードウェア要件

境界ファイアウォールに対するハードウェア要件は、次に示すように、ソフトウェアベースのファイアウォールとハードウェアベースのファイアウォールで異なります。

  • ハードウェアベースのファイアウォール
    これらのデバイスでは、通常、カスタマイズされたハードウェア プラットフォーム上で専用のコードが実行されます。これらのファイアウォールの規模および価格は、対応可能な接続数、および実行するソフトウェアの複雑さに基づきます。

  • ソフトウェアベースのファイアウォール
    ソフトウェアベースのファイアウォールも、同時接続の数とファイアウォール ソフトウェアの複雑さに基づいて構成されます。対応可能な接続数に基づいて、サーバーに必要なプロセッサ速度、メモリ サイズ、およびディスク空き容量を計算します。負荷分散や VPN ソフトウェアなど、ファイアウォール サーバー上で実行される可能性のある、その他のソフトウェアについても考慮してください。また、ファイアウォールとの接続を行うアプリケーションおよび外部ネットワークへの接続形態についても考慮します。この方法には、プロセッサ、メモリ、およびネットワーク カードを追加することによりシステム能力を向上させる方法と、複数のシステムと負荷分散を使用してファイアウォール タスクを分散させる方法があります (このモジュールの以降のセクション「拡張性」を参照してください)。製品によっては、対照型マルチプロセッシング (SMP) を使用してパフォーマンスを強化させるものもあります。ソフトウェア ファイアウォール製品のいくつかでは、Windows Server 2003 のネットワーク負荷分散サービスを使用して、フォールト トレランス、高可用性、効率性、およびパフォーマンスの向上を実現できます。

ページのトップへ

ファイアウォールの可用性

境界ファイアウォールは、可用性を向上させるために、冗長コンポーネントを伴う単一のファイアウォール デバイスとして実装するか、フェールオーバーのメカニズムまたは負荷分散のメカニズムまたはその両方が組み込まれた、ファイアウォールの冗長ペアとして実装できます。これらの実装方法の長所と短所については、以降のサブセクションで説明します。

冗長コンポーネントを伴わない単一のファイアウォール

図 2 に、冗長コンポーネントを伴わない単一のファイアウォールを示します。

図 2 冗長コンポーネントを伴わない単一のファイアウォール

冗長コンポーネントを伴わない単一のファイアウォールの使用には、次に示す長所と短所があります。

長所

冗長でない単一ファイアウォールの長所は次のとおりです。

  • 低コスト
    ファイアウォールは 1 つだけのため、ハードウェアおよびライセンスに必要なコストは低くなります。

  • 容易な管理
    サイトまたはエンタープライズ環境にファイアウォールが 1 つしか存在しないため、管理は簡易化されます。

  • 単一のログ ソース
    トラフィックのログ記録はすべて、1 つのデバイスが行います。

短所

冗長でない単一ファイアウォールの短所は次のとおりです。

  • シングル ポイント障害
    内部および外部に向かうアクセスの両方またはどちらかで、シングル ポイント障害が発生する可能性があります。

  • トラフィックのボトルネックになる可能性がある
    単一のファイアウォールは、接続数や要求されるスループットによっては、トラフィックのボトルネックになる可能性があります。

冗長コンポーネントを伴う単一のファイアウォール

図 3 に、冗長コンポーネントを伴う単一のファイアウォール レイヤを示します。

図 3 冗長コンポーネントを伴う単一のファイアウォール

冗長コンポーネントを伴う単一のファイアウォールの使用には、次に示す長所と短所があります。

長所

冗長コンポーネントを伴う単一ファイアウォールの長所は次のとおりです。

  • 低コスト
    ファイアウォールは 1 つだけのため、ハードウェアおよびライセンスに必要なコストは低くなります。電源装置などの冗長コンポーネントのコストは高くありません。

  • 容易な管理
    サイトまたはエンタープライズ環境にファイアウォールが 1 つしか存在しないため、管理は簡易化されます。

  • 単一のログ ソース
    トラフィックのログ記録はすべて、1 つのデバイスが行います。

短所

冗長コンポーネントを伴う単一ファイアウォールの短所は次のとおりです。

  • シングル ポイント障害
    冗長コンポーネントの数によっては、内部および外部に向かうアクセスの両方またはどちらかで、シングル ポイント障害が発生する可能性があります。

  • コスト
    コストは、冗長性のないファイアウォールに比べて高くなり、冗長性を組み込むために上位クラスのファイアウォールが必要になる場合があります。

  • トラフィックのボトルネックになる可能性がある
    単一のファイアウォールは、接続数や要求されるスループットによっては、トラフィックのボトルネックになる可能性があります。

フォールト トレラント ファイアウォール

フォールト トレラント ファイアウォール セットには、図 4 に示すように、各ファイアウォールを二重化するメカニズムが含まれます。

図 4 フォールト トレラント ファイアウォール

拡大表示する
フォールト トレラント ファイアウォール セットの使用には、次に示す長所と短所があります。

長所

フォールト トレラント ファイアウォール セットの長所は、次のとおりです。

  • フォールト トレランス
    サーバーまたはデバイスのペアを使用することで、必要なレベルのフォールト トレランスを提供できます。

  • 集中ログ記録
    トラフィックのログ記録はすべて、良好に相互接続されているデバイスのペアにより行われます。

  • 状態の共有が可能
    製品の製造元によっては、このレイヤ内のファイアウォールでセッションの状態を共有することが可能です。

短所

フォールト トレラント ファイアウォール セットの短所は、次のとおりです。

  • 複雑さの増加
    このタイプのソリューションでは、ネットワーク トラフィックの経路が複数になるため、セットアップおよびサポートが複雑になります。

  • 複雑な構成
    異なるファイアウォール ルールのセットがそれぞれ正しく構成されなかった場合、セキュリティ ホールおよび解決が必要な問題の原因となります。

この方法では、ハードウェアベースまたはソフトウェアベースのファイアウォールが対象になります。前に示した図では、ファイアウォールは組織とインターネットとの間のゲートウェイとして機能していますが、境界ルーターがファイアウォールの外側に設置されています。このルーターは、侵入に対して非常に脆弱であるため、このルーター上でも何らかのファイアウォール機能を構成する必要があります。侵入に対する防御がファイアウォール デバイスで完全に行われていることを前提に、ファイアウォールの機能をすべてではなく、一部だけ実装する方法もあります。また、スタンドアロンのファイアウォール デバイスを別に設置せず、ファイアウォールをルーターに統合する方法もあります。

フォールト トレラント ファイアウォールの構成

フォールト トレラント ファイアウォール セット (クラスタとも呼ばれる) の実装には、次のセクションで説明するように、主に 2 つの方法があります。

アクティブ/パッシブ フォールト トレラント ファイアウォール セット

アクティブ/パッシブ フォールト トレラント ファイアウォール セットでは、1 つのデバイスがトラフィックをすべて処理し、その他のデバイスは何もしません。通常、両方のデバイスが互いに通信し、可用性や接続の状態についての情報を交換するための規約があります。この通信はハートビートと呼ばれ、各システムは他のシステムに対して 1 秒に数回、信号を送信し、相手のノードによって接続が処理されていることを確認します。ユーザーによって定義された間隔以内にパッシブ ノードがアクティブ ノードからハートビートを受信しなかった場合、パッシブ ノードによってアクティブ ノードの役割が代行されます。

図 5 に、アクティブ/パッシブ フォールト トレラント ファイアウォール セットを示します。

図 5 アクティブ/パッシブ フォールト トレラント ファイアウォール セット

拡大表示する
アクティブ/パッシブ フォールト トレラント ファイアウォール セットの使用には、次に示す長所と短所があります。

長所

アクティブ/パッシブ フォールト トレラント ファイアウォール セットの長所は、次のとおりです。

  • 単純な構成
    この構成は、セットアップやトラブルシューティングが容易です。どの時点においても、アクティブなネットワーク パスは 1 つしか存在しないためです。

  • フェールオーバーの負荷が予測可能
    フェールオーバー時に、トラフィックの負荷全体がパッシブ ノードに切り替えられるため、パッシブ ノードで管理する必要のあるトラフィックを容易に想定できます。

短所

アクティブ/パッシブ フォールト トレラント ファイアウォール セットの短所は、次のとおりです。

  • 非効率的な構成
    アクティブ/パッシブ フォールト トレラント ファイアウォール セットは非効率です。正常に運用されている間、パッシブ ノードはネットワークに対して有益な機能を何も提供しないためです。
アクティブ/アクティブ フォールト トレラント ファイアウォール セット

アクティブ/アクティブ フォールト トレラント ファイアウォール セットでは、すべてのノードが共有する仮想 IP アドレスに対して送信されるすべての要求を複数のノードが積極的にリスンします。負荷は、使用中のフォールト トレランス メカニズムに固有のアルゴリズム、またはユーザーをベースとする静的な構成を介してノード間に分散されます。その結果、各ノードは同時にさまざまなトラフィックを積極的にフィルタします。1 つのノードで障害が発生した場合、そのノードが以前に負っていた負荷の処理が、障害に影響されなかったノード間で分散されます。

図 6 に、アクティブ/アクティブ フォールト トレラント ファイアウォール セットを示します。

図 6 アクティブ/アクティブ フォールト トレラント ファイアウォール セット

拡大表示する
アクティブ/アクティブ フォールト トレラント ファイアウォール セットの使用には、次に示す長所と短所があります。

長所

アクティブ/アクティブ フォールト トレラント ファイアウォール セットの長所は、次のとおりです。

  • 効率性
    両方のファイアウォールがネットワークにサービスを提供するため、この構成は、アクティブ/パッシブ フォールト トレラント ファイアウォール セットに比べて効率的です。

  • 高スループット
    この構成では、正常に運用されている間、アクティブ/パッシブ構成に比べて高レベルのトラフィックを処理できます。両方のファイアウォールが同時に、ネットワークにサービスを提供できるためです。

短所

アクティブ/アクティブ フォールト トレラント ファイアウォール セットの短所は、次のとおりです。

  • 過負荷に陥る可能性が高い
    1 つのノードに障害が発生した場合、残りのノード上のハードウェア リソースだけでは、要求される合計スループットを処理するのに不十分である可能性があります。あるノードに障害が発生し、障害の影響を受けなかったノードに余分な負荷がかかった場合にパフォーマンスが低下する可能性があることを理解し、このような事態に備えることは重要です。

  • 複雑さの増加
    ネットワーク トラフィックの経路が 2 つ存在するため、トラブルシューティングはより複雑になります。

ページのトップへ

セキュリティ

ファイアウォール製品のセキュリティは、最も重要です。ファイアウォールのセキュリティに関する業界標準はありませんが、製造元から独立した International Computer Security Association (ICSA) が、認定プログラムを実施しています。この認定プログラムは、市販のファイアウォール製品のセキュリティに関するテストを目的としています。ICSA は、現在市販されている製品を数多くテストしています (「http://www.icsalabs.com/icsa/icsahome.php」(英語) を参照)。

必須のセキュリティ標準をファイアウォールが確実に満足するように注意する必要があります。これを達成する方法の 1 つは、ICSA 認定を取得したファイアウォールを選択することです。さらに、選択したファイアウォールに実績があることを確認してください。インターネット上で使用可能な、セキュリティに関する脆弱性についてのデータベースがいくつかあります。製品に対して過去に指摘された脆弱性の数と重要度について、それらのデータベースで確認してください。

残念なことに、製品にはすべて (ハードウェアベースとソフトウェアベースの両方について)、バグが存在します。購入を検討している製品に影響するバグの数と重要度を認識することに加えて、明らかにされた脆弱性への製造元の対応も評価してください。

ページのトップへ

スケーラビリティ

このセクションでは、ファイアウォール ソリューションの拡張性要件について考えます。ファイアウォールの拡張性は、使用されるデバイスのパフォーマンス特性により、ほとんど決定されます。実際に直面することになるシナリオに対処できる規模のファイアウォールを選択するのが賢明です。拡張を実現するには、次に示す 2 つの基本的な方法があります。

  • 垂直方向への拡張 (スケール アップ)
    ファイアウォールがハードウェア デバイスの場合でも、またサーバー上で稼動するソフトウェア ソリューションの場合でも、メモリ容量を増やし、CPU の処理能力およびネットワーク インターフェイスのスループットを向上させることで、程度は異なりますが、拡張を実現できます。しかし、各デバイスやサーバーには、垂直方向への拡張に関して上限があります。たとえば、CPU 用のソケットを 4 つ備えているサーバーを購入し、CPU を 2 基搭載した状態で運用を開始した場合、増設できる CPU の数は 2 つだけです。

  • 水平方向への拡張 (スケール アウト)
    サーバーの垂直方向への拡張を限界まで行った後は、水平方向への拡張が重要になります。ほとんどのファイアウォールで (ハードウェアベースとソフトウェアベースの両方について)、何らかの形の負荷分散を使用することで、水平方向への拡張が可能です。その場合、複数のサーバーで 1 つのクラスタを編成し、ネットワーク上のクライアントからは 1 つのサーバーとして認識されるようにします。この手法は、このモジュールの「ファイアウォールの可用性」のセクションで説明した、アクティブ/アクティブ クラスタと本質的に同一です。この機能を提供するために使用されるテクノロジは、前述のものと同一である場合も同一でない場合もあり、これは製造元に依存します。

ハードウェアによるファイアウォールの垂直方向への拡張は、困難な場合があります。しかし、ファイアウォール ハードウェアの製造元によっては、水平方向への拡張によるソリューションが提供されていて、複数のデバイスを積み上げて、単一の負荷分散された装置として動作させることができます。

ソフトウェアベースのファイアウォールには、複数のプロセッサを使用して垂直方向に拡張できるよう設計されているものがあります。通常、ファイアウォール自身が複数のプロセッサの制御を意識することはなく、基底にあるオペレーティング システムがこれを制御します。しかし、この機能を十分に活用するために、ファイアウォールはこのハードウェア構成に対応できる必要があります。この手法では、単一のデバイスまたは冗長なデバイス上での拡張を実現できます。これは、通常、製造時にハードウェア上の制限が製品に組み込まれている、ハードウェアベースのファイアウォールと異なる点です。ファイアウォールの多くは、そのデバイスが対応できる同時接続数で分類されます。ハードウェア デバイスの場合、接続に関する要件がそのデバイスの固定的な拡張性で対応できる範囲を超えたために、交換しなければならなくなるという事態がたびたび発生します。

既に説明したように、フォールト トレランスは、ファイアウォール サーバーのオペレーティング システムに組み込まれている場合があります。ハードウェアによるファイアウォールの場合、フォールト トレランスを実現するには、多くの場合で、追加のコストが必要になります。

ページのトップへ

パフォーマンス

ファイアウォールのパフォーマンスを強化するために、次のようなテクノロジを使用できます。

  • ギガビット イーサネット/ファイバ サポート

  • プロキシ、Web リバース プロキシ、およびキャッシング

  • SSL オフローディング インターフェイス

  • IPSec オフローディング インターフェイス

ソフトウェアベースのファイアウォールの場合、これらの各テクノロジは複数の製造元から販売されているため、コストを低く抑えることができます。ハードウェア デバイスの場合、サード パーティから同様の製品が販売されている場合もありますが、通常は、ファイアウォールの製造元からのみ入手できます。

次のセクションで、パフォーマンスを強化するこれらのテクノロジのそれぞれについて説明します。

ギガビット イーサネット/ファイバ サポート

スイッチ、ルーター、およびファイアウォールの多くは、ギガビット速度のイーサネット インターフェイスに対応しています。このインターフェイスは、低価格化により、広く普及しています。この機能は、インターフェイスがファイアウォール展開のボトルネックになる可能性を大幅に減少させます。

プロキシ、Web リバース プロキシ、およびキャッシング

通常、キャッシング機能はソフトウェアベースのファイアウォール上でだけ使用できます。トラフィックまたはデータをキャッシュするのにディスクを使用する必要があるためです。

SSL オフローディング インターフェイス

SSL アクセラレータ カードを使用すると SSL の暗号化処理をファイアウォールの CPU で行わずに済むため、SSL ベースの暗号化を使用する公開 Web サイトのパフォーマンスは向上します。ファイアウォールが SSL で暗号化される区間の終点である場合、このデバイスは非常に効果的です。

IPSec オフローディング インターフェイス

IPSec アクセラレータ カードは、VPN のような、IPSec ベースの暗号化を使用する公開サービスのパフォーマンスを向上させます。このデバイスを使用すれば、ファイアウォールの CPU で暗号化処理を行う必要はなくなります。ファイアウォールの内部インターフェイスと公開サービスとの通信のトラフィックのために IPSec オフローディングを使用して、境界ネットワーク内を移動するトラフィックは境界ネットワークの各ホスト間で暗号化されるようにできます。

ページのトップへ

統合

統合とは、ファイアウォール サービスを別のデバイスに組み込む、または他のサービスをファイアウォールに組み込むことを意味します。統合の利点は次のとおりです。

  • 購入コストの節減
    ファイアウォール サービスをルーターなどの別のサービスに組み込むことで、ハードウェア デバイスのコストを節減できます。ただし、その場合でもファイアウォール ソフトウェアは購入する必要があります。同様に、他のサービスをファイアウォールに組み込むことで、ハードウェア追加分のコストを節減できます。

  • 資産保有コストおよび管理コストの削減
    デバイスの数を少なくすることで、運用コストを節減できます。これは、ハードウェアのアップグレードの必要性が減り、ケーブル配線が単純化され、管理が容易になるためです。

  • 高いパフォーマンス
    実現する統合の種類によっては、パフォーマンスを向上できます。たとえば、Web サーバーのキャッシング機能をファイアウォールに組み込むことにより、他のデバイスとの通信が不要になり、サービス間の会話は、イーサネット ケーブルを介した場合に比べて高速になります。

統合の例を次に示します。

  • ファイアウォール サービスを境界ルーターに追加する
    多くのルーターで、ファイアウォール サービスを組み込むことができます。低価格のルーターに組み込まれるファイアウォール サービスは非常に単純な場合がありますが、通常、上位ルーターには、高機能のファイアウォール サービスを組み込めます。実際には、境界ファイアウォールを別に設置する場合でも、ルーター自身と境界スイッチを保護するために、境界ルーターでファイアウォール サービスを常に機能させることをお勧めします。

  • ファイアウォール サービスを境界スイッチに追加する
    選択する境界スイッチによっては、境界ファイアウォールをブレードとして追加することで、コストの節減、パフォーマンスの向上を実現できます。

  • プロキシ キャッシュを境界ファイアウォールに追加する
    プロキシ キャッシュには頻繁にアクセスされる Web ページが格納され、次にそのページに対する要求があった場合には、Web サーバーに再度アクセスするのではなく、キャッシュからページの配信が行われます。これにより応答時間は短縮され、Web サーバーの負荷は軽減されます。キャッシュを維持するためにローカル ハード ディスクが必要になるため、通常、プロキシ キャッシュはサーバー ファイアウォールだけに組み込めます。

ファイアウォール サービスを提供するサーバーまたはデバイスに他のサービスを統合することを検討する場合、あるサービスを使用することでファイアウォールの可用性、セキュリティ、管理性、またはパフォーマンスを損なわないように注意する必要があります。他のサービスが発生させた負荷はファイアウォール サービスのパフォーマンスを低下させるため、パフォーマンスについて考慮することも重要です。

ファイアウォール サービスをホストするデバイスまたはサーバーにサービスを統合する別の方法は、ファイアウォール ハードウェア デバイスをスイッチ内にブレードとして統合することです。この方法では通常、どのようなタイプのスタンドアロン ファイアウォールを使用する場合よりもコストは低くなり、二重電源装置のような、スイッチの可用性機能も利用できます。この構成は、これが別のデバイスでないため、管理が容易でもあります。さらに、この構成では通常、実行速度も速くなります。これは、スイッチ内のバスが使用されるためで、バスは外部ケーブルを使用する場合に比べて非常に高速です。

ページのトップへ

標準およびガイドライン

インターネット プロトコル バージョン 4 (IPv4) を使用するインターネット プロトコルのほとんどが、ファイアウォールで保護できます。これには、TCP や UDP などの低層のプロトコルと、HTTP、SMTP、FTP などの高層のプロトコルの両方が含まれます。検討対象のファイアウォール製品すべてに対して、必要なタイプのトラフィックがサポートされているかどうか再確認してください。ファイアウォールには GRE を解釈できるものもあります。GRE は、いくつかの VPN 実装で使用されている PPTP (Point-to-Point Tunneling Protocol) のためのカプセル化プロトコルです。

いくつかのファイアウォールには、HTTP、SSL、DNS、FTP、SOCKS v4、RPC、SMTP、H. 323、POP (Post Office Protocol) などのプロトコルのためのアプリケーション レイヤ フィルタが組み込まれています。

ページのトップへ

要約

このモジュールでは、ファイアウォール製品の選択に失敗しないための、現実的なプロセスについて説明しました。このプロセスでは、ソリューションを実現させるために必要なさまざまな評価および分類のプロセスを含む、ファイアウォール設計のすべての側面が考慮されています。

100 パーセント安全なファイアウォールは存在しません。ネットワークが電子的な攻撃を外部から受けないようにする唯一の方法は、そのネットワークと別のシステムまたはネットワークとの間に空気の隙間を設けることです。その結果として生じるのは、事実上使用不可能な、セキュリティ保護されたネットワークです。ネットワークを外部ネットワークに接続する場合や 2 つの内部ネットワークを結合する場合、ファイアウォールを使用することで適切なレベルのセキュリティ保護を実装できます。

この章で概説したファイアウォール計画や設計プロセスは、セキュリティ計画全体の一部であると考えてください。強力なファイアウォールでも、環境内の他の部分が脆弱であれば価値がありません。セキュリティはネットワークのすべてのコンポーネントに適用される必要があり、環境に固有なリスクに対処するためのセキュリティ ポリシーは、すべてのコンポーネントに対して定義される必要があります。

ページのトップへ

参照情報

ファイアウォール サービスの設計および配置の詳細については、次の URL を参照してください。

  • ファイアウォールの概要については、次の URL を参照してください。
    http://technet.microsoft.com/library/cc700820.aspx

  • Microsoft Window Server 2003 の詳細なセキュリティ情報については、次の URL 「Windows Server 2003 セキュリティ センター」のドキュメントを参照してください。
    http://www.microsoft.com/japan/technet/security/prodtech/win2003/default.mspx

  • Microsoft Internet Security & Acceleration Server ファイアウォールおよび Web プロキシ製品の詳細については、次の URL を参照してください。
    http://www.microsoft.com/japan/isaserver/

  • Microsoft が Microsoft 製品のセキュリティについての情報を加入者に送付するのに使用している無料の電子メール通知サービスについては、次の URL のマイクロソフト プロダクト セキュリティ警告サービス日本語版 Web サイトを参照してください。
    http://www.microsoft.com/japan/technet/security/bulletin/notify.mspx

  • SANS (SysAdmin、Audit、Network、および Security) Institute のセキュリティ リソースは、次の URL で使用できます (英語)。
    http://www.sans.org

  • Computer Emergency Response Team (CERT) が記録および公開しているセキュリティについての警告、およびセキュリティについての専門知識については、次の URL を参照してください (英語)。
    http://www.cert.org

ページのトップへ