5.フィルタリング方式から分類するファイアウォール
5.1.パケットフィルタ型
パケットのヘッダ情報に含まれている下記情報で中継を判断
- 発信元IPアドレス
- 送信先IPアドレス
- 発信元ポート番号
- 送信先ポート番号
- プロトコル種別(TCP、UDP、ICMPなど)
特徴
- ファイアウォールは、インターネット層(第三層)でパケットを中継するので、クライアントとサーバが直接コネクションを確立する
- 処理は早い
- 安易な設定で不正アクセスを許す可能性がある
- 複雑な処理はできない
- アクセス制御ルールを複雑化させると、設定ミスが起こしやすい
- ペイロードの情報が含まれない
※単純なパケットフィルタ型は利用されない
5.2.アプリケーションゲートウェイ型
アプリケーションプログラムごとに別々のプロキシを持ち、パケットのアプリケーション層を含めた構造に基づいてパケットの中継を判断する
特徴
- ペイロードに含まれるコマンドやポート番号などの情報もチェックする
- クライアントはファイアウォールとの間でコネクションを確立する
- ファイアウォールがクライアントに代わって目的のサーバにとの間でコネクションを確立する
- コネクションが2段階になるのでパケットフィルタ型に比較して処理効率は悪い
- プロトコルごとに細かな制御ができるために、セキュアで柔軟なフィルタリングを行うことが可能
5.3.サーキットレベルゲートウェイ型
アプリケーションゲートウェイ型と同様のファイアウォールがクライアントからの接続要求を受け取り、中継(接続許可)する場合、目的のサーバに対してトランスポート層(第4層)レベルでコネクションを確立し、クライアントとサーバを結ぶバーチャルサーキットを確立する
特徴
- フリーのプロキシ(SOCKS)がこの方式を用いている
- フィルタ処理が第3層、第4層レベルの情報に基づいて行われる
- ペイロード情報はチェックしない
- クライアントのアプリケーションプログラムがこの方式に対応していることが必要
5.4.ダイナミックパケットフィルタ型
最初にコネクションを確立する方向のみACLを事前に登録し、実際に接続要求があると、ここの通信をセッション管理テーブルに登録するともに必要なルールが動的に生成され、フィルタリング処理を行う
※セッション管理テーブルによって通過したパケットの応答やそれに付随するコネクションなどを総合的に管理し、自動的に必要な処理を行う
※セッションが終了すると、動的に生成したルールは破棄される
特徴
- 過去の通信の状態が記録されており、それと矛盾するパケットは、不正パケットと判断する
- 常に必要最小限のルールを動的に生成され、必要がなくなれば破棄されるためにACL設定のバグを利用した不正アクセスなどを発生する可能性が低い
→ セキュリティの確保可能
5.5.ステートフルインスペクション型
特許を保有するファイアウォールのアーキテクチャ
現在の多くの製品がこの方式を利用している
基本的な仕組みはダイナミックパケットフィルタ型と同様、アプリケーションごとの通信フローなどの情報をもっており、それに基づいてレイヤを設定しない制御を行っている
6.アクセス制御のルール
ACL設定
ポジティブセキュリティモデル:デフォルトではすべて拒否、そこを許可するルール(ホワイトリスト)を登録する
