この記事を読むために必要な時間は約6分(1952文字)です。
ファイアウォール(ルータ)による対策
- 投稿日:2018-06-01
- 表示:298PV
- カテゴリ:対策技術
前回、不正アクセスをするための下準備についてお話しましたので、その対策をもう少しお話します。
目次
不正アクセスの下準備
前回お話したように、下準備は以下の2段階に分かれています。- ネットワークスキャン
- ポートスキャン
一言で言うと、ネットワークスキャンはIPアドレスを知る事、ポートスキャンは動作しているソフト(サービス)を知る事でした。
前回、対策についても簡単にお話していますが、対策をする方法をもう少しお話します。
ファイアウォール(ルータ)とは
ファイアウォールとは
ファイアウォールは、ネットワークの内と外の境界に設置するモノです。「モノ」と表現したのは大きく分けると以下の2種類があるからです。
- ルータなどの物理的な物
- PCやサーバなどの内部で動作するソフト
前回、簡単にお話した対策では、外部からの接続かどうかで応答するかどうかを判断していました。
このため、内部か外部かは大きな違いがあります。
この内外の境界を作り、動作を変えるモノをファイアウォールと呼びます。
外部で起こった火事という問題から内部を守る壁という意味からこのように呼ばれています。
ファイアウォール(ルータ)の機能
ファイアウォール(ルータ)の機能は下準備に合わせて次の2種類にわけられます。実際には、セキュリティを強化するため、もう一つあるので、3種類です。
- ネットワークスキャンに対応⇒レイア3フィルタリング
- ポートスキャンに対応⇒レイア4フィルタリング
- レイア7フィルタリング
レイア3フィルタリング
ネットワークスキャンはIPアドレスを知ることです。これに対応するので、レイア3フィルタリングは、IPアドレスを判断基準に動作します。
「フィルタリング」と呼ばれているのは、ある条件により何かを通す/通さないと、ろ過装置(フィルタ)のような動作をするためです。
IPアドレスで内部の通信か外部から通信かを判断して、動作します。
ネットワークスキャンに対応するには、外部の通信は通さないようにすればよいわけです。
レイア4フィルタリング
ポートスキャンは、ソフト(サービス)を知るために、ポートを検査することでした。ポート番号からは、前回、ウェルノウンポートのところでお話したように、通信規約(プロトコルと呼びます)もわかります。
これに対応するので、レイア4フィルタリングは、ポート番号やプロトコルを判断基準に動作します。
特定のポート番号やプロトコルに対しての外部からの通信は通さないようにすればよいわけです。
ウィルスなどのように、内側から積極的に通信する場合もあります。
このため、特定のポート番号やプロトコルに対しての内部からの通信も通さないようにすることもあります。
レイア7フィルタリング
レイア7フィルタリングは、アプリケーションでの通信の内容を判断基準に動作します。メールを例としてお話します。
メールを送信する場合、宛先や本文など、送る内容と順番が決まっています。
決まっている内容と順番以外の通信をすることはありません。
順番がおかしかったり、送ってはいけない内容であれば、通信を通さないようにするのです。
メールだけではなく、ウェブブラウザのHTTP通信など、色々な種類があります。
レイア4フィルタリングと異なるのは、ソフトやプロトコル毎の通信の順番まで判断することです。
このため、かなり強力です。
が、その分処理する内容が多く、また、各種類ごとに動作するため、フィルタリングの動作分の負荷が大きいという欠点があります。
ご注意:ファイアウォールとルータについて
実務者の皆さんへファイアウォールとルータは本来別の目的で作られました。
ルータは通信経路を制御する目的です。
それに対し、ファイアウォールは、セキュリティを確保する目的です。
このため、それぞれに必要な機能が異なり、別物として認識できていました。
ところが、似たような動作をするため、ファイアウォールとルータ、それぞれの機能向上により、その機能の差が無くなってきました。
物理的な物であるルータとソフトであるファイアウォールは機能が異なることが多いため、別物と認識できます。
しかし、物理的な物であるルータとファイアウォールとは、機能向上で同じような機能を持つことになったので、別物として認識するのは難しくなってきました。
このため、セキュリティを確保する目的でルータを使うこともできるため、呼び名で間違え無いようにしなければならなくなってきていますので、ご注意ください。
| 広告枠・・・広告やリンク先の保証はしません | |
|---|---|
