ファイアウォールとは

ファイアウォールの基本的なコンセプトは、セキュリティポリシーを実装し、「信頼できるネットワーク」と「信頼できないネットワーク」の境界において、ネットワークのセキュリティを守ることです。信頼できるネットワークとは社内のプライベートネットワークを指し、信頼できないネットワークとはインターネットを指しています。また、公開サーバを設置するDMZ(Demilitarized Zone)の境界にもなります。

ファイアウォールで実装するセキュリティポリシーとは、具体的には「どんな通信を許可するか」ということです。そのために、ファイアウォールでは主にパケットフィルタリングを行います。非信頼ネットワークから信頼ネットワークへのパケットは、すべてファイアウォールを経由するようにし、必要な通信のパケットのみを許可します。


Ciscoでの基本的なパケットフィルタリングについて、以下の記事で解説しています。


ファイアウォールでのパケットフィルタリング

一般的なファイアウォールでのパケットフィルタリングは次のように行います。

  • 信頼ネットワークから非信頼ネットワーク
    • ポリシーで許可されているアプリケーションのパケットのみを許可する
  • 非信頼ネットワークから信頼ネットワーク
    • 信頼ネットワークから非信頼ネットワークへ送信されたパケットの戻りパケットのみを許可する
  • 非信頼ネットワークからDMZ
    • 公開サーバのアプリケーションのパケットのみを許可する
  • DMZから非信頼ネットワーク
    • 公開サーバに対して送信された戻りパケットのみを許可する
図 ファイアウォールでのパケットフィルタリング
図 ファイアウォールでのパケットフィルタリング

関連記事