全1285文字
PR

 ファイアウオールはセキュリティー対策の最も基本的な機能である。どのような通信を許可し、どのような通信を認めないかを設定する。許可していない通信が社内ネットワークなどのLANに入り込むのを防ぐ。

 実現方式は大きく3つある(図2)。パケットフィルタリングとステートフルインスペクション、それにアプリケーション制御だ。

図2●ファイアウオールの実現方式
図2●ファイアウオールの実現方式
ファイアウオールの主要な実現方式は3種類ある。基本はパケットフィルタリングとステートフルインスペクションで、アプリケーション制御を備えた製品もある。
[画像のクリックで拡大表示]

 パケットフィルタリングはほぼすべてのファイアウオール製品が備える方式である(図3)。通信相手のIPアドレスやポート番号に応じて、通信を許可するかどうかを指定する。

図3●パケットフィルタリングの具体例
図3●パケットフィルタリングの具体例
パケットフィルタリングでは、ファイアウオールを通過させるパケットをルールとして定義する。基本的にはIPアドレスとポート番号で識別する。
[画像のクリックで拡大表示]

 基本的には外から内と、内から外の両方でフィルタリングルールを設定する。例えば社内から特定のWebサイトにアクセスできるようにするには、まず内から外のルールで、対象となるサイトのIPアドレスのTCP 443番ポートへの通信を許可する。また逆に同じIPアドレスの443番ポートから戻ってくる通信も許可する。こうすると指定したIPアドレスのWebサイトとの通信が可能になる。