ファイアウォール

セキュアド

 多くのシステムは内部のネットワークを外部のネットワークにゲートウェイを介して接続している。これはセキュリティ上の観点から見ると出入り口を1箇所に集約し、そこのみを徹底的に防御する構造になる。
 この防御すべき出入り口に設置される防御策として一般的なのがファイアウォールである。ハードウェア、ソフトウェア、それぞれ存在し、最近は個人ユースのパーソナルファイアウォールなども普及しつつある。

パケットフィルタリング型

 IPアドレスを元に一定の規則に従いパケットの通過・不通過を決定するタイプ。L3レベルでの通信制御を行っており、各パケットのIPヘッダに記述された送信元・送信先のIPアドレスをフィルタリングの規準とする。
 用途としては「xxxへ(から)のアクセスは許可しない」というブラックリスト方式よりも「xxxへ(から)のアクセスのみ許可する」というホワイトリスト方式のほうが一般的。
 ただ、その用途例からもわかるとおり不特定多数に対し通信を行う場合には不向き。結果として全てのIPアドレスを許可しないといけない羽目になれば実質的に存在する意味がなくなってしまう。また、IPアドレスを詐称して侵入する手法も存在するので注意が必要。

トランスポートゲートウェイ

 L4レベルでのフィルタリングを行うタイプ。送信元ポート・送信先ポート番号を利用して通信制御を行う。
 これも基本的には使用するポートのみを開放し、残りは通過を許可しないという使用方法が一般的。IPアドレスではなくポート番号で制御を行うため、一対多の通信の場合でも必要なサービスのみに絞った通信を実現できる。また、不要なポートを閉じることでOSが特定のポートに内包する脆弱性からシステムを守ることにもつながる。

アプリケーションゲートウェイ

 アプリケーション層の内容を解釈して通信制御を行うタイプ。L7ゲートウェイとも呼ばれる。 利用するアプリケーションごとにいくつかの種類が存在し、基本的にはクライアントからの書く要求をいったんゲートウェイが解釈し、問題なければゲートウェイが代わりに要求をサーバーに送り、レスポンスをまた間接的にクライアントへ通す。
 一般にproxyサーバーなどと呼ばれるのもこれである。

ステートフルインスペクション

 このタイプのファイアウォールは判断に用いることができる要素が大量にあり、きめ細かい設定が行える。
 たとえばSMTPに関して不適切な件名のメールを拒否したり、前後関係が不明瞭なACKパケット(クラッカーにより偽装された可能性のあるパケット)を拒絶したりするなど、アプリケーションレベルでの処理やプロトコルの整合性まで言及する事もできる。こういったセキュリティコントロールをステートフルインスペクションと呼ぶ。
 だが処理すべき情報が膨大になるため、便利な反面処理能力がかなり要求されるという欠点もある。

フィルタリングルール

 ファイアウォールの基本動作は「ルールに従いパケットの通過を許可したり拒否したりする」ことである。種類の違いはルールの設定基準や設定できる範囲の違いといえ、どんなタイプを使うにしても適切なルール設定があって初めてファイアウォールはその効果を発揮できる。逆に言えばルール設定がファイアウォールの有効性を決定する最大要因なのである。
 ゆえにルール設定をいかに行うかが重要となるが、基本スタンスは「全て禁止にして、例外的に必要なものを許可する」ことである。さきに述べた「ブラックリストよりホワイトリスト」と同義であるが、言及していない条件を許可する方針は設定漏れにつながり、そこが脆弱性となる危険性が生じる。一方で言及しない条件を拒否する方針ならば、仮に必要なサービスを制限しているのであれば運用過程で自ずとそこに言及する必要性が生じるし、それがないならばもともと許可する必要性は無く、黙って拒否したままにしておけばよいことになる。

アウトバンドとインバンド

 従来ファイアウォールはインバンド(内向き)のパケットを制限することに重点が置かれてきた。しかし最近はアウトバンド(外向き)のパケット制限の重要性が叫ばれつつある。感染後、クライアントから情報を送信するウイルスなどが数を増やしてきたことなどが主な原因であるが、情報漏えいを防ぐという観点からも、外向きパケットの監視は今後ますます重要になるといる。