7.ファイアウォールのアドレス変換機能
ファイアウォールやルータなどにはグルーバルアドレスとプライベートアドレスを相互に変換する機能があります。
- NAT:IPアドレスのみを変換する
- NAPT:IPアドレスとポート番号を変換する
7.1.NAT(Network Address Translation)
パケットの中継時に始点(応答時には終点)IPアドレスを変換する方式です。
内部から外部(インターネット)へ中継する場合
プライベートアドレスからグローバルアドレスへの変換を行う
外部から内部へ中継する場合
グローバルアドレスからプライベートアドレスへの変換を行う
特徴
- 一つのプライベートアドレスに対し、一つのグローバルアドレスを割り当てる
※グローバルアドレスが一つしかない場合、他のクライアントPCは同時にインターネットへアクセスできない
7.2.NAPT(Network Address and Port Translataion)
パケットの中継時にIPアドレスとポート番号の両方を変換する方式です。
内部から外部へ中継する場合
プライベートアドレスをファイアウォール自身の外部アドレスへ変換するとともに発信元ポート番号は空いている任意の番号に変換する
外部から内部へ中継する場合
逆を行う
NATのようなグローバルアドレスの数で同時接続可能なホスト数が制限されることはない
8.ファイアウォールで防御できない攻撃
8.1.OS,プロトコル、ミドルウェア(サーバプログラムなど)の脆弱性をついた攻撃
8.1.1.攻撃手法の例
- ポートスキャン
- BOF攻撃
- パスワードクラック
- プロトコルベースのセッションハイジャック
8.1.2.対策の例
- ホストの要塞化
- 脆弱性検査及び対策の実施
- IPSによる攻撃の遮断
8.2.Webアプリケーションプログラムの脆弱性をついた攻撃
8.2.1.攻撃手法の例
- クロスサイトスクリプティング
- SQLインジェクション
- OSコマンドインジェクション
- アプリケーションベースのセッションハイジャック
8.2.2.対策の例
- Webアプリケーションの脆弱性検査及び対策の実施
- Webサーバ、DBサーバの設定による対策
- Webアプリケーションファイアウォールによる攻撃の遮断
8.3.Dos系の攻撃
8.3.1.攻撃手法の例
- Connection Flood攻撃(接続元が同一ではなく、多数ある場合)
- 反射・増幅型DDos攻撃
8.3.2.対策の例
- 十分な帯域を持つネットワークと十分な処理能力を持つファイアウォールやサーバを用いる
- CDNサービスを利用する
8.4.マルウェアの侵入
8.4.1.攻撃手法の例
- コンピュータウィルス
- ワーム
- スパイウェア
- ランサムウェア
- ポット
8.4.2.対策の例
- ホストの要塞化をする
- ゲートウェイ型のAV製品やサンドボックスに侵入を防ぐ
- ここのホストにAV製品を導入する
9.ファイウォールの拡張機能
9.1.ハイパフォーマンス
9.2.ギガビット対応
9.3.マルチホーミング対応
企業などのネットワークから複数の経路を通じてインターネットに接続すること
9.4.IPv6対応
9.5.QoS
9.6.高可用性(ハイアベイラビリティ:HA)
- 負荷分散方式
- ホットスタンバイ方式
- 自律負荷分散方式
9.7.負荷分散機能
ファイウォールがHTTP,FTPなど特定のプロトコルに対するトラフィックを複数のサーバに振り分ける
9.8.マルチセグメント対応
IEEE802.1Qに準拠したVLANを使用
9.9.アプリケーション層の攻撃に対する防御機能
- ファイアウォールとNIDSの機能を兼ね備えたIPS
- ファイアウォールにIPS機能やアンチウィルス、コンテンツフィルタリングなどの複数の機能を統合し他製品:UTM
9.9.1.UTM製品のメリットとデメリット
- UTMにおいては別個に製品を購入する必要がないのでコストの削減、
管理するホスト数が少ない
運用管理の手間が省ける - ファイウォール全体のパフォーマンスが低下する
- 設定が複雑になる
- 処理が複雑なため、障害が発生しやすくなる恐れがある
- あらゆる防御機能を集約しているため、障害発生時の影響が非常に大きい
- 各機能が中途半端になってしまう恐れがある
※ 小規模なサイトに向いている
※ 大規模なサイトには必要最低限の機能に特化しているほうが、ハイパフォーマンス、ハイアベイラビリティを実現する製品が望ましい
