| この記事には
複?の問題があります
。
改善
や
ノ?トペ?ジ
での議論にご協力ください。
|
ファイアウォ?ル
(
英
:
Firewall
)は、
コンピュ?タネットワ?ク
において、ネットワ?クの結節、
コンピュ?タセキュリティ
の保護、その他の目的
[注? 1]
のため、通過させてはいけない通信を阻止する
システム
を指す。
?要
[
編集
]
ファイアウォ?ルは、外部からの攻?に?する防御だけではなく、?側から外部への望まない通信を制御することも出?る。ネットワ?クの利便性を損ねる場合もあるが、
標的型攻?
などにより、?部に
トロイの木馬
が入り?んでしまっている場合などに、その活動を妨げる?果が期待できる。
ル?タ?
を初めとした
アプライアンス
商品にファイアウォ?ルの機能を持つものもある。近年ではネットワ?クの終端にあたる個?のコンピュ?タでも自分自身の防御のために、外部と接?するネットワ?ク
プロトコルスタック
中に、望まない通信を防ぐ(たとえばTCPの接?要求など)フィルタなどを持っているものも多く、それらを指して言うこともある(たとえば
Windows
には「
Windows ファイアウォ?ル
」、
macOS
には「アプリケ?ションファイアウォ?ル」がある)。
名?の元となった英語の「Firewall」は
防火壁
のことであり、通過させてはいけない通信を火に例えている。ファイアウォ?ルを境界として3種類のゾ?ンを作成する。パケットの通過、拒否を決定するル?ルは、異なるゾ?ンへと向かうパケットを?象として作成することになる。
- ?部(Inside)ゾ?ン:外部から守るべきネットワ?ク。基本的に信?できるものとして扱う。
- 外部(Outside)ゾ?ン:攻?元となる可能性のあるネットワ?ク。基本的に信?出?ないものとして扱う。
- DMZ(DeMilitarized Zone:非武?ゾ?ン):?部と外部の中間に置かれるゾ?ン。基本的に外部からアクセスできるのはこのゾ?ンのみとなる。
以下では、
OSI?照モデル
に?ったレイヤによって分類しつつ?明する。
パケットフィルタ型
[
編集
]
OSI?照モデル
における
ネットワ?ク層
(レイヤ3)や
トランスポ?ト層
(レイヤ4)に相?するIPから
TCP
、
UDP
層の?件(
ポリシ?
)で、通信の許可/不許可を判?するもの。?義でのファイアウォ?ルとは、このタイプのものを指す。このタイプはさらに、スタティックなものとダイナミックなものとに分類できる。
基本的にはレイヤ3で通信制御を判?するが、フィルタの種類によってはレイヤ4のヘッダも?照する。すなわち、TCP/UDPの
セッション
?位で管理する?ではない。ただし、ステ?トフルパケットインスペクション型ではTCP/UDPセッションの一部も記憶して判?動作する。
- スタティックなパケットフィルタ
- IP
通信において、宛先や送信元の
IPアドレス
、
ポ?ト番?
などを監視し、あらかじめ設定した?件によって、その通信を受け入れる(ACCEPT)、?棄する(DROP)、拒否する(REJECT)などの動作で通信を制御する。具?的には、外部から?部へ向かう
パケット
を選別して特定の
サ?ビス
のみを通す、また?部から外部へ向かうパケットも、
セキュリティホ?ル
になりかねないため、代表的なサ?ビス以外は極力遮?する、といった設定が行われることが多い。仕組みが?純なため高速に動作するが、設定に手間がかかる、防ぎきれない攻?があるなどの問題点がある。
- ダイナミックなパケットフィルタ
- 宛先および送信元のIPアドレスやポ?ト番?などの接??遮??件を、IPパケットの?容に?じて動的に?化させて通信制御を行う方式。
- スタティックなパケットフィルタで?部と外部で?方向の通信を行う場合は、?部から外部へ向かうパケットと、外部から?部へ向かうパケットの?方を明示的に許可しなければならない。一方、ダイナミックなパケットフィルタでは、?部から外部の通信を許可するだけで、その通信への?答に?してのみ、外部からの通信を受け入れる、といった動作を自動的に行う。
- ステ?トフルパケットインスペクション
- ステ?トフルインスペクション
(Stateful Packet Inspection、SPI)ともよばれる、ダイナミックなパケットフィルタリングの一種。
- レイヤ3のIPパケットが、どのレイヤ4(TCP/UDP)セッションに?するものであるか判?して、正?な手順のTCP/UDPセッションによるものとは判?できないような不正なパケットを拒否する。そのため、TCP/UDPセッションの一部情報を記憶して判?動作する。具?例として、ヘッダのSYNやACKフラグの
ハンドシェイク
の?態などを記憶し、不正に送られてきたSYN/ACKパケットを?棄する。
サ?キットレベルゲ?トウェイ型
[
編集
]
レイヤ3?IPパケットではなく、TCP/IPなどのレイヤ4?
トランスポ?ト層
のレベルで通信を代替し、制御する。?部のネットワ?クから外部のネットワ?クへ接?する場合は、サ?キットレベルゲ?トウェイに?してTCPのコネクションを張ったり、UDPのデ?タグラムを投げることになる。サ?キットレベルゲ?トウェイは、自らに向けられていたIPアドレスとポ?ト番?を本?のものへと振り替え、自らが外部と通信した結果を返すという動作をする。代表的なソフトウェア??としては
SOCKS
がある。また、ハ?ドウェア??として
レイヤ4スイッチ
にもこの機能を持たせる事ができる。
サ?キットレベルゲ?トウェイは、あらかじめ多?のポ?トを開けたり
NAT
を用意しなくても、
プライベ?トIPアドレス
しか持たない?部のネットワ?クからでも、外部のネットワ?クへ接?できるという点がメリットである。
アプリケ?ションゲ?トウェイ型
[
編集
]
パケットではなく、レイヤ7の
HTTP
や
FTP
といった、アプリケ?ションプロトコルのレベルで外部との通信を代替し、制御するもの。一般的には
プロキシサ?バ
と呼ばれている。アプリケ?ションゲ?トウェイ型ファイアウォ?ルの?部のネットワ?クでは、アプリケ?ションはアプリケ?ションゲ?トウェイ(プロキシサ?バ)と通信を行うだけであり、外部との通信はすべてプロキシサ?バが仲介する。アプリケ?ションプロキシが用意されていないサ?ビスについては、サ?キットプロキシで??する事が可能である。
このため、アプリケ?ションゲ?トウェイで許されている
プロトコル
で
トンネリング
を行うソフトウェア、例えば
SoftEther
や
httptunnel
といった、運用方法によっては
セキュリティホ?ル
になりうる??の利用を、かえって促進してしまうという事例も近年目立っている。?すぎる
セキュリティポリシ?
が迂回路を招いてしまっているとも言える。
プロキシは?に中?するだけの物が多いが、レイヤ7ファイアウォ?ルはアプリケ?ションの通信の中身も?査する事ができる(例:アクセスURLチェック、ウイルスチェック、情報漏洩?出)。そのため、?査の仕方によってはレイヤ7ファイアウォ?ルは相?な負荷が掛かり、ファイアウォ?ルの?理上も、通信上もボトルネックとなることもある。また、未成年に好ましくないコンテンツのみを、末端のユ?ザにはプロキシサ?バの存在を意識させない?態で、自動的にフィルタリングしてしまうといった??も可能である。
なお、アプリケ?ションの通信の中身も?査するため、
電?通信事業者
が自らが仲介する通信の?容に立ち入ってはならない(
通信の秘密
)と言う原理原則に反する
??
だと批判する向きもある。通信事業に携わる技術者や?者の間ではこういった種類のファイアウォ?ルを設置するという?想を?く批判する向きもある
[
誰?
]
。
なお?際に、
ISP
の
ぷらら
が
ファイル共有ソフトウェア
Winny
の通信を全て遮?する事を計???表し、それに?して通信の秘密を侵害する可能性があるとして
?務省
から
行政指導
を受け、Winny遮?は同ISPユ?ザの利用者の選?に任せるとした事例もあった。
[
要出典
]
具?的な??例
[
編集
]
上述のパケットフィルタリング型や、サ?キットレベルゲ?トウェイ型ではそれぞれ、
レイヤ3スイッチ
(
ル?タ?
)や
レイヤ4スイッチ
等のハ?ドウェア機器の一部機能として組み?まれている事も多い。この場合、ある程度簡易な?件でしかパケット?査をできないため、簡易ファイアウォ?ル、?義のファイアウォ?ルと呼ぶこともある。レイヤ?7ファイアウォ?ル(L7FW)は通信の?容まで?査するため、L7FWが本?の(?義の)ファイアウォ?ルであるとすることもある。
ソフトウェアによる??としては、
UNIX
では?統的に
ipfw
が使われてきた。
カ?ネル
レベルで動作するため、オ?バ?ヘッドが小さく高速に動作する。
macOS
でも
ipfw
が??されている。
Linuxカ?ネル
には
iptables
、
ipchains
、
nftables
等が??されている。
Windows
では
ZoneAlarm
、
ノ?トン インタ?ネットセキュリティ
、
ウイルスバスタ?
、
NetOp Desktop Firewall
等の
フリ?ウェア
ないし商用
アプリケ?ション
が普及しているが、これらはファイアウォ?ルというよりは、
IDS
に近い動作をしている。しかし、一般的にファイアウォ?ルという語が防護のイメ?ジを喚起しやすいためか、用語は混?して使われている。一般的には、
パ?ソナルファイアウォ?ル
と呼ばれる。
また、
Windows XP
では、OSの機能として簡易的なファイアウォ?ルが標準で搭載されている(Windows XP SP2ではユ?ザ?が初期設定を行わずに利用できるように改良された)。純?にスタティックなパケットフィルタ型ファイアウォ?ルの??としては、
NEGiES
などがある。
主なファイアウォ?ル製品
[
編集
]
ソフトウェア型
[
編集
]
ハ?ドウェア型
[
編集
]
その他フリ?ウェアなど
[
編集
]
脚注
[
編集
]
注?
[
編集
]
出典
[
編集
]
?連項目
[
編集
]
ウィキメディア?コモンズには、
ファイアウォ?ル
に?連するカテゴリがあります。
|
---|
?染性マルウェア
| |
---|
?伏手法
| |
---|
?益型マルウェア
| |
---|
OS別マルウェア
| |
---|
マルウェアからの保護
| |
---|
マルウェアへの?策
| |
---|
カテゴリ
|