境界防御に使うファイアウオール/UTMが備えるパケットフィルタリングは、ステートフルインスペクションやウイルスゲートウエイなどの機能と違って、ユーザーが設定する必要がある。
パケットフィルタリングだけで、サイバー攻撃を防ぐのは難しいが、きちんと設定しておけば、ウイルス侵入のリスクを減らせる。ウイルスに感染した場合でも、外部との不正な通信を遮断できる可能性がある。
一方、設定が不適切だと、セキュリティ対策として効果がないばかりか、Webアクセスができなくなったり、メールが使えなくなったりする。一部の製品では、管理用のGUI画面などが用意され、慣れていない担当者でも操作しやすくなっている。ただ、CUIベースの製品もまだ多く、設定手順に戸惑うケースがあるだろう。Part4ではパケットフィルタリングの設定方法を解説する。
設定するのは対象と処理内容
パケットフィルタリングでは、送られたパケットの通過を許可するか拒否するかを設定する。具体的には、(1)対象を決める、(2)対象ごとの処理を指定する――の繰り返しである(図4-1)。
対象の指定には、送信元と宛先のIPアドレス、プロトコルの種類、ポート番号を使う(図4-2)。
送信元、宛先の指定には、IPアドレスかホスト名を使う。すべての送信元または宛先を指定するときは、「ANY」と指定すればよい。
プロトコルの種類は、「TCP」「UDP」「ICMP」といった通信プロトコル名で指定する。ICMPとは、ping(ピング)コマンドやtracert(トレースルート)コマンドで使用するプロトコルである。
アプリケーションごとに通信の許可/拒否を決めたいときは、ポート番号で指定する。
一部の製品ではポート番号の代わりに、「HTTP」「HTTPS」「SMTP」といった具合にアプリケーションが使うプロトコル名でも指定できる。これらの指定は、HTTPであればTCPの80番ポート、HTTPSであればTCPの443番ポートを指定したときと同じ設定になる。一般的によく使われるポート、いわゆるウエルノウンポートが指定されるのだ。このため、例えばWebサイトにアクセスできるユーザーを限定するために、HTTPを8080番ポートで運用するときは、「HTTP」ではなく手動で「TCPの8080番ポート」と指定する必要がある。
パケットフィルタリングでアプリケーションの識別に指定できるのはポート番号だけである。Webアプリケーション制御のように、Webアプリケーションの種類までは指定できない。