ポイント●ファイアウォールとは,セキュリティ・レベルが異なるネットワークの相互接続点(境目)に配置して,外部からの不正な通信を遮断するハードウェアまたはソフトウェアのことである●ステートフル・パケット・インスペクションとは,パケット・フィルタリング機能の一種で,ファイアウォールが通信の状態を記憶しておくことで,例えば社内から発する要求パケットに対しての外部からの応答パケットだけを通過させる機能のことを指す ●DMZとはインターネット(外部)と内部ネットワークの間にあるネットワークで,外部に公開しているWebサーバーなどを配置する際に利用する |
 |
今回から,「第3章 ネットワークセキュリティ」に入ります。ネットワークセキュリティと一言で言っても,非常に幅広く,しかも奥が深い分野です。この連載では,ネットワークセキュリティにかかわる重要なキーワードをピックアップして,それを理解するために必要な基礎知識に触れながれ話を進めていきます。第1回は「ファイアウォールとDMZ」です。
ファイアウォールとは
ファイアウォールを直訳すると「防火壁」となります。ネットワークで利用するファイアウォールは,セキュリティ・レベルの異なるネットワークの境目に配置して,不正な通信を遮断する役割を果たすハードウェアまたはソフトウェアを意味します。
セキュリティ・レベルの異なるネットワークの境目の例としては,外部(インターネット)と社内LANとの境目,あるいはネットワークとパソコン内部との境目などになります。前者に実装する場合はハードウェアでの実装イメージになります。後者の場合はパーソナル・ファイアウォールなどのソフトウェアでの実装がイメージできると思います(図1)。
図1 ファイアウォールのイメージ |
それでは,インターネット(外部)と社内LAN(内部)の間に配置するハードウェアでの実装イメージを基に,ファイアウォールの仕事をもう少し詳しく見てみましょう。
インターネットではTCP/IPを用いて,利用者がサーバーの物理的な設置場所を気にすることなく利用できるようになっています。しかし,インターネットを介した通信は,誰に内容を見られるかわかりませんし,いつでも不特定の相手から攻撃を受ける可能性があります。そこで,ファイアウォールを設けて,外部と内部を分けてセキュリティ的なレベルを分割します。内部に対しては外側からのアクセスを禁止すれば,内部は基本的に自分の組織内の通信しかありません。このため,外部より安全にすることができます。
ファイアウォールといっても,何も高価な専用機器である必要はありません。たとえ安価なブロードバンド・ルーターであっても,適切な設定をすることにより,境界線を保護するために必要な要件と性能を満たせば,立派なファイアウォールとして利用できます。
