Reading Time: 1 minutes

 

ファイアウォールのもつ基本機能として「パケットフィルタリング」が挙げられます。これは、あらかじめファイアウォールの管理者が定めたルールに基づいて必要なパケットのみを通過させ、それ以外を遮断する機能であり、最も一般的なセキュリティ対策の一つです。

ファイアウォールの最もシンプルな構図として、イントラネット(内部ネットワーク)とインターネット(外部ネットワーク)の出入り口に設置し、その間を通過する通信を制御します。また、イントラネットからインターネットへの通信の制御には「情報漏えい防止」、逆にインターネットからイントラネットへの通信の制御には「不正アクセス防止」が目的として挙げられ、誰もが気軽にインターネットに接続できる現代だからこそ、悪意ある内部ユーザーによる情報漏えいや、高い技術を持つハッカーやクラッカーによる不正アクセスを防ぐための対策が必要なのです。そして、その最初の砦として、ファイアウォールの設置は効果的といえます。

では、パケットを振り分けるパケットフィルタリングとは、実際どのような機能なのか。それをご説明するため、以下ではパケットフィルタリングのルール設定について、もう少し具体的にご紹介したいと思います。

ファイアウォールのルールを設定

 

パケットフィルタリングで使用されるルールは「ポリシー」と呼ばれており、以下の4つの構成要素から成り立っています。

  • 送信元・宛先のIPアドレス
  • 送信元・宛先のポート番号
  • プロトコル
  • 方向
  • アクション

そして、上記の条件に対して通過を許可するのか、あるいは禁止するかというアクションを設定していきます。

また、ポリシーの運用方法としては、大きく以下の2つが挙げられます。

  1. 基本的にはすべての通信を遮断し、必要最低限の通信のみを通過させる方法
  2. 基本的にはすべての通信を通過させ、遮断するものを個別に指定する方法

セキュリティ対策としては、一つ目の運用方法の方が強固であり、推奨されている方法となりますが、きちんと考えて設定しないと、必要な通信まで遮断してしまう可能性があります。さらに、ファイアウォールは、ルール番号 1から下へ順に処理され、一度適用されたら残りのルールは適用されないという特徴があります。そのため、どのような順番で設定するかを検討することも、大切なポイントとなるのです。

なお、このルール設定ですが、シンプルかつパフォーマンスに優れるというメリットがある一方、ルールの管理が煩雑であり、いつの間にか使われていない通信ルールをそのままにしていたり、不要かどうかの判断がつかないといった管理が適切に行われていないと、セキュリティホールを発生させる危険もあります。そこで、最後に弊社製品であるFirewall Analyzerの「上位未使用ルール」レポートを紹介させていただきます。

セキュリティの穴となる不要ルールを棚卸

 

不必要な許可ポリシーの存在は、セキュリティーホールの発生につながる可能性があり、セキュリティ上は好ましくありません。しかし、ファイアウォール機器では、外部の攻撃に対応するため数多くのポリシー(ルール)が設定されており、管理者はどのポリシーがよく使用され、どのポリシーがあまり使用されていないかということを、把握するのが困難となります。

そこで、Firewall Analyzerを使用していただくことにより、未使用ルールの一覧を「ワンクリック」で検出することが可能となります。以下が上位未使用ルールレポートの実際のスクリーンショット画面です。

表示方法:
[レポート]タブ -> [Firewall ルールレポート]下にある「上位未使用ルール」をクリック

また、ルール番号をクリックすると、ルールに対する詳細な設定内容も確認することができます。

このように、Firewall Analyzerを利用する事で、簡単に未使用ポリシーを検出し、さらに結果をレポートとして出力することもできます。そして、管理者はこのレポートを見ることで、不要な許可ポリシーの棚卸作業を効率的に行うことが可能となるのです。

※「未使用ルールビュー」機能は、Juniper SSG/SRX・FortiGate・Cisco ASA & Cisco Pix・PaloAltoが対象です。

 

もし、本製品に少しでもご興味を持っていただきましたら、以下のリンクより30日間無料で評価できる評価版をダウンロードできますので、是非お試しください。

評価版ダウンロードURL:https://www.manageengine.jp/products/Firewall_Analyzer/download.html

また、評価版を利用する際にインストールガイドなどが記載したスタートアップガイドもございますので、こちらもご参照ください。

スタートアップガイド:https://www.manageengine.jp/products/Firewall_Analyzer/startup-guide.html


フィードバックフォーム

当サイトで検証してほしいこと、記事にしてほしい題材などありましたら、以下のフィードバックフォームよりお気軽にお知らせください。

Comments are closed.