全1490文字
PR

パケットの中身を見て判断

 近年のファイアウオール機器は、こうした基本的な機能に加えて、利用するサービスやアプリケーションによってアクセスの可否を決める機能を搭載している。

 さらに様々なセキュリティー機能も搭載するようになった。こうした機器はUTM(Unified Threat Management)やNGFW(Next Generation FireWall)などと呼ばれている。

 具体的には攻撃パケットを遮断するIPS(Intrusion Prevention System)や、LANに侵入しようとするウイルス(マルウエア)を検知して排除するアンチウイルスゲートウエイ(AVGW:Anti Virus GateWay)といった機能を搭載する。こうした複数の機能によって防御することを「多層防御」と呼ぶ。

 新たに搭載された機能に共通しているのは、やりとりするパケットの中身をチェックする点だ(PICT2)。

PICT2●パケットの中身に応じて通信するかを決める
PICT2●パケットの中身に応じて通信するかを決める
(イラスト:なかがわ みさこ)
[画像のクリックで拡大表示]

 例えばAVGWであれば、パケットを順番に検査していき、ウイルスと思われるパケットがあれば通信を遮断したり、パケットをファイルに復元してウイルスの有無をチェックしたりする。どちらも基本的にはシグネチャーと照合することでウイルスの有無をチェックする。シグネチャーとはウイルスや攻撃の特徴的なパターンを指す。シグネチャーをまとめたものをパターンファイルなどと呼ぶ。サンドボックスと呼ばれる仮想環境で検査対象のプログラムを実際に動かして、不正なプログラムかどうかをチェックする機器もある。

 近年はTLS(Transport Layer Security)を利用した通信が多いため、TLS通信を終端して通信を復号してからパケットを検査するAVGWも出てきている。