部外者がLAN内部にアクセスすることは好ましくありません。また、ウイルスなどの影響で、LAN内部から機密情報が漏洩するような事態も避けなければなりません。ファイアウォールは、インターネットとLANの境界に設置して通信を監視し、不都合な通信を遮断する装置です。ファイアウォールには、パケットの宛先/送り元アドレスだけをチェックするパケットフィルタリング型と、通信nの内容までチェックするアプリケーションゲートウェイ型があります。
1:ファイアウォールの設置
ファイアウォールは、インターネットとLANとの境界に設置します。ファイアウォールの外側を外部セグメントと呼びます。ファイアウォールの内側で、公開サーバを設置する箇所を非武装セグメント(DMZ)、LAN内部に相当する箇所を内部セグメントと呼びます。
インターネットや内部セグメントからDMZへ向けては通信が可能なように設定します。一方、DMZへ向けては通信できないように設定します。これは、DMZのサーバが攻撃を受けて乗っっとられたとしても、乗っ取ったサーバから内部セグメントへ接続できないようにするためです。
2:パケットフィルタリング型ファイアウォール
パケットの
・宛先IPアドレス、ポート番号
・送信元IPアドレス、ポート番号
によって、通貨の可否を決める方式のファイアウォールです。通常は許可する通信を指定して、それ以外の通信はすべて禁止するという運用を行います。このような運用をデフォルト禁止の設定、あるいは、ホワイトリスト方式といいます。
通信の可否を設定する設定表をフィルタリングテーブルと言います。フィルタリングテーブルには、要求(行きの通信)と応答(帰りの通信)を設定します。
3:アプリケーションゲートウェイ型ファイアウォール
パケットフィルタリング型ファイアウォールの機能に加えて、通信しているデータの内容をチェックして通貨の可否を決める方式のファイアウォールです。外部に漏洩して箱回る情報を食い止めることができます。
この方式では、通信しているデータの内容を調べるために、アプリケーションプロトコルを理解する必要があります。例えば、ファイアウォールがHTTPを理解できないと、ウェブ通信のいないようを調べることはできません。また、STMPを理解できないと、電子メールの内容を調べることはできません。ファイアウォールが対応していないプロトコルでの通信内容は調べられないのです。この点に注意して運用する必要があります。
4:WAF(Web Application Firewall)
ウェブサーバやウェブアプリケーションへの攻撃を遮断することを目的としたファイアウォールです。WAFは、保護対象をウェブサーバやウェブアプリケーションに特化しています。ウェブサーバやウェブアプリケーションとの通信内容をチェックし、攻撃に使われるメッセージが含まれていた場合、該当メッセージを無害か(サニタイジング)したり、通信を遮断したりします。XSSやCSRF、SQLインジェクションといったウェブアプリケーションへの攻撃を効果的に遮断できます。