ファイアウォール / Firewall

■ ファイアウォール。Firewall。

  インターネットに接続された企業LANなどにおいて、
  外部からの不正アクセスを防御するためのネットワーク機能。
  または、その機能を実現するために設置されるゲートウェイ装置。

  ファイアウォールはふつう、
  企業内ネットワークと外部インターネットとの接点に置かれ、
  主にに、パケットフィルタリングなどの設定が行われる。

■ パケットフィルタリング。

  パケットは通信機器を通過することを、
  一定の条件に基づいて許可したり禁止したりすること。
  静的フィルタリング、動的フィルタリング、SPIの3種類がある。

■ 静的フィルタリング。

  最も単純なフィルタリング方法。
  許可・禁止すべきパケットの種類を、あらかじ決めておく方法。

  静的フィルタリングでは、下記の5項目を
  管理者があらかじめ定め、ファイアウォールに設定しておく。

  ・通信を許可（もしくは禁止）するパケットの向き
  ・送信元IPアドレス（またはその範囲）
  ・宛先IPアドレス（またはその範囲）
  ・送信元ポート番号（またはその範囲）
  ・宛先ポート番号（またはその範囲）

■ 動的フィルタリング。

  許可・禁止すべきパケットの種類を、
  ファイアウォール自身が必要に応じて自動的に決める方法。

  ファイアウォールは、
  パソコンからの最初に送られてきたパケットの
  宛先IPアドレスや宛先ポート番号を記憶しておき、
  同じIPアドレスで同じポート番号からの応答パケットだけを
  通すようにする。

  そして、FINにより通信が完了したら、再びすべてを遮断するようにする。

■ SPI。Stateful Packet Inspection。

  動的フィルタリングの機能を、さらに強化したもの。

  ファイアウォールは、
  IPアドレスとポート番号に加えて、
  応答パケットの確認応答(ACK)フラグやシーケンス番号をも管理し、
  妥当性のあるものだけを通過させる。

  通信途中に割り込んでくる不正なパケットは、
  これらの制御情報が食い違うことが多いため、
  ここをチェックすれば、攻撃を有効に防ぐことができる。

以上。

2004/02/23 pm