日経NETWORK 2005.2 『2005年版ファイアウォール大研究』 by BOSE
日経ネットワークのファイアウォール技術解説記事です。ファイアウォール(以下FW)についてのイロハが一通り理解できるすばらしい記事だと思います。ファイアウォールって何?という基本はもちろん、最新動向までカバーされています。
すっかり個人ユーザにとってもブロードバンドインターネットの常時接続が当たり前になりました。個人向けサービスの場合、ADSLモデムやブロードバンドルータなどが、実質FWの役割を果たしています。個人ユーザにとっても、FW技術の基本は抑えておきたいですよね。
目次
Part.1 基本
ここではFWの種類や目的、パーソナル型とゲートウェイ型の違い、フィルタリング手法の違いなど、FWの基本を理解する上で必要な知識がまとめられています。
パーソナル型とゲートウェイ型は、どちらか一方があればよいと言うものではなく、併用するのがベストです。インターネットとLANの境界では不要なパケットを遮断するためゲートウェイ型のFWが必要です。しかしそれだけでは十分ではありません。LAN内にワームに感染したPCがある場合など、PCからPCへのワーム攻撃等を防ぐためにはパーソナル型のFWが有効です。パーソナル型とゲートウェイ型では、守るべき対象も目的も異なっているのです。
また、フィルタリング手法は以下の4種類に分けられ、それぞれの違いについても解説されています。
- 静的フィルタリング
- 動的フィルタリング
- ステートフル・インスペクション
- アプリケーション・データの検査
FWってどんどん進化してきたんですね。特に「アプリケーション・データの検査」では、シグニチャと照らし合わせて、ウィルスや攻撃用のコードが含まれていないかを検査するものもあるようです。これってIDPって言うんじゃないの?と思いますが。そのうちFWもIDPもあまり区別されなくなってくるのかもしれません。
Part.2 パーソナル型ファイアウォール
パーソナル型ファイアウォールとは、「パソコンにインストールしてパソコン単体のセキュリティ・レベルを確保する」ものです。製品にもよると思いますが、アドレス、ポート番号単位のフィルタリングはもちろん、Part.1で説明されていた4種類のフィルタリング手法をサポートしています。
パーソナル型は、特にアプリケーションの中身を検査するのに適しているようです。ゲートウェイ型の場合は多数の端末宛のデータが流れるため、アプリケーションレベルの検査を実施するためには、流れているデータを分類し、パケットを組み立てるという前処理が必要になります。これは処理が複雑で、FWへ
の負担も大きいですよね。
一方パーソナル型はエンドポイントであるPCにインストールされたアプリケーションなので、パケットをアプリケーションレイヤまで組み立てた後のデータを検査することができます。データを組み立てる面倒な処理が必要ないというわけです。
また、登録されていないアプリケーションが通信を開始しようとすると、通信を遮断する機能もあります。例えば、スパイウェアが勝手に個人情報を外部にメールしようとした時など、ポップアップの警告画面でユーザに通信可否を判断させたりします。この機能は心強いですね。スパイウェアの中には、キーロ
グ情報と画面コピーをメールでクラッカに送信するようなものもあるらしいですから。Windows XPもICFというFW機能を標準で備えてますが、ここまでの機能は無いそうです。
Part.3 SOHO向けゲートウェイ型ファイアウォール
ステートフル・インスペクション等の基本機能に加えて、以下の機能を持つものがあるそうです。
- URLフィルタ
- DMZ機能
- アプリケーションデータの検査
- レイヤ7までのステートフルインスペクション
詳細は記事を参照いただくとして・・、URLフィルタ機能を持つ機器があるとは知りませんでした。URLフィルタとは、事前に登録したURL単位でアクセスを禁止できる機能です。外部のデータベースと連携することで、例えば「アダルト」「違法」のカテゴリはアクセスを禁止する、というようなことができます。最近ではインターネットが少年少女に与える影響も問題視されてきているので個人ユーザ向けにURLフィルタの需要は伸びると思いますね。
Part.4 中・大規模向けゲートウェイ型ファイアウォール
ここまでのFWの説明だけでも、その機能の充実ぶりに感心していたのですが、大規模向けはさらにすごいです。なんと、パケットのデータ部から実行コードを探し出し、害が無いかどうかをFWで実際に実行して試してみるものがあるとか。実際に試してみるというのは確かにとても効果的に思われます。他にも正常時のトラフィックの特徴を把握し、トラフィックに通常時と異なる特徴が出た場合に攻撃と判断する手法もあるそうです。
そんな複雑な処理をして、バックボーンインフラのFWとして処理が追いつくの?と心配になりますが、プログラマブルASICや、複数プロセッサの併用などで、1Gb/sを超える処理を実行できるというから驚きです。
僕の知るファイアウォールの機能は、せいぜいステートフル・インスペクションまででしたが、ここまで進化しているとは知りませんでした。アプリケーションレベルまでが検査対象とする機能を中心に、どんどん機能が拡張されているんですね。
ファイアウォールに関して基本から最新機能まで、しかもパーソナル型FWも含めて体系的にまとめられた、とても分かりやすい記事だったと思います。ファイリングして今後のリファレンスにしようっと。
※BOSEさん、ありがとうございます。ホントに技術の進歩ってすごく速いですね。企業向けだけでなく、家庭用のブロードバンドルータのファイアウォール機能もとても充実してきているのがよくわかる記事ですよね。(Gene)
日経NETWORKの詳細、購読申し込みはこちら↓