ファイアウォールについて調べてみた。
そもそもファイアウォールって
"ファイアウォール"ってよく聞いてきた言葉なのですが、意外と正しく理解できていないのでは、と思い改めて調べました。一般的にファイアウォールというと、レイヤー3/レイヤー4階層でのパケットフィルタリング機能をもつもののようです。つまり、IPとUDP/TCP/ICMPなどでフィルタリングするものです。
じゃあ一体ファイアウォールとやらはどこで使われるのか。基本的には以下2つ。
- ルータとかグローバルネットワークとプライベートネットワークの境界の装置
- OSの機能の一部
ですが、企業システムの場合はファイアウォールといえば、ネットワークの境界で使用する装置を指しますね。
ファイアウォールの発展系(?)としてアプリケーション層でフィルタリングする機能をもつものもあります。その中でも特にWebアプリケーションに特化したものをWeb Application Firewall(WAF)と呼びます。これはまた今度書きます。
DMZ(DeMilitarized Zone)化 : 非武装地帯化
セキュリティ会社に転職して当たり前の様に聞く言葉の一つに"DMZ化"。一体これは何やねん。調べると、DMZ = DeMilitarized Zone(非武装地帯)と出てきて、やけに物騒な話やなと。どうやら、戦闘地域にネットワークを準えている模様。
グローバルネットワークは何でもありの危険な戦闘地域とすると、ファイアウォールなどで守られた社内ネットワーク等の内部ネットワークは安全なエリアとなります。しかしながら、Webサーバとかメールサーバとか、戦闘地域に出さなければいけないけど、極力守りたい、そんな装置を非武装地帯に置きましょうと。じゃあ非武装地帯って何やねんと。それは下図の様に、外部ネットワークと内部ネットワークをファイアウォールで区切った間に位置する部分を指します。
じゃあ非武装地帯ってことは安全なのかっていうとそうでもない。外部からのアクセスを許容している時点である程度攻撃が発生することは止む無しという考えのもと、ただし、DMZから内部ネットワークには侵入させませんよ、という構成になっています。危険は必要最小限に留めて、でも便利なサービスは提供しますよ、というバランスをとった構成とも言えます。
上記の構成の場合、ファイアウォールを2つ設置する必要があり、コストがかかるため、一般的には以下の様な構成が取られることが多い様です。
DMZにはWEBで使用するポート80番、メールサーバで使用するポート110番、DNSで使用するポート53は通過させるけど、内部ネットワークには外部からは何も通しません、という様な設定をファイアウォールを使って実現します。それがDMZ化です。
Webは本当に様々なセキュリィの問題があり、対策が施されているんですね。。。
まだまだ勉強せねば・・・
参考:非武装地帯 (コンピュータセキュリティ) - Wikipedia