ファイアウォール(コンピューティング)

コンピューティングにおいて、ファイアウォールとは、設定可能なセキュリティルールに基づいて、送受信されるネットワークトラフィックを監視および制御するネットワークセキュリティシステムです。 [ 1 ] [ 2 ]ファイアウォールは通常、信頼できるネットワークとインターネットなどの信頼できないネットワークとの間または複数のVLAN間に障壁構築します。ファイアウォールはネットワークベースとホストベースに分類できます。

歴史

ファイアウォールという用語は、もともと隣接する建物の列内に火災を封じ込めるための壁を指していました。[ 4 ]その後、車両航空機エンジンルームと客室を隔てる金属板など、類似の構造を指すようになりました。この用語は1980年代に 、インターネットが世界的に普及し接続性が確立されたばかりの時代に登場したネットワーク技術に適用されました。[ 5 ]ネットワークセキュリティにおけるファイアウォールの前身は、1980年代に使用されていたルーターでしたルーターは既にネットワークを分離していため、通過するパケットをフィルタリングすることができました[ 7 ]

実際のコンピューターで使用される前に、この用語はジョン・バダムの1983年のコンピューターハッキング映画「ウォー・ゲーム」に登場し、ひげを生やして眼鏡をかけたプログラマーのポール・リヒターがこれを話しており、これが後の使用に影響を与えた可能性がある。[ 8 ]

最も初期に商業的に成功したファイアウォールおよびネットワークアドレス変換(NAT)製品の一つは、1994年にジョン・メイズが設立・経営する新興企業Network Translation Inc.によって発明されたPIX(Private Internet eXchange)ファイアウォールです。PIXファイアウォール技術は、コンサルタントソフトウェア開発者のブラントリー・コイルによって開発されました。[ 9 ]コイルは、IPv4アドレス枯渇問題が深刻化する中で、限られた数の登録済みIPアドレスを使用して、組織がプライベートネットワークをパブリックインターネットに安全に接続できるようにPIXを設計しました。この革新的なPIXソリューションは瞬く間に業界から高い評価を受け、1995年1月には『Data Communications Magazine』誌から権威ある「Hot Product of the Year」賞を受賞しました。急成長するネットワークセキュリティ市場への進出を目指していたシスコシステムズは、1995年11月にNetwork Translation Inc.を買収し、PIX技術の権利を取得しました。PIXはシスコの主力ファイアウォール製品ラインの一つとなり、最終的には2005年に導入されたAdaptive Security Appliance(ASA)プラットフォームに引き継がれました。

ファイアウォールの種類

ファイアウォールは、ネットワークベースまたはホストベースのシステムに分類されます。ネットワークベースのファイアウォールは、2つ以上のネットワーク、通常はローカルエリアネットワーク(LAN) とワイドエリアネットワーク(WAN) の間に配置され、[ 10 ]基本的な機能は、接続されたネットワーク間のデータフローを制御することです。これらは、汎用ハードウェア上で実行されるソフトウェアアプライアンス、専用ハードウェア上で実行されるハードウェアアプライアンス、またはハイパーバイザによって制御される仮想ホスト上で実行される仮想アプライアンスのいずれかです。ファイアウォールアプライアンスは、 DHCP [ 11 ] [ 12 ]VPN [ 13 ]サービスなど、ファイアウォール以外の機能も提供する場合があります。ホストベースのファイアウォールは、ネットワークトラフィックやその他のコンピューティングリソースを制御するために、ホスト自体に直接展開されます。[ 14 ] [ 15 ]これは、オペレーティングシステムの一部であるデーモンまたはサービス、または保護用の エージェントアプリケーションである場合があります。

ネットワーク内のネットワークベースのファイアウォールの図

パケットフィルター

最初に報告されたネットワークファイアウォールの種類は、コンピュータ間で転送されるパケットを検査するパケットフィルタと呼ばれるものです。ファイアウォールはアクセス制御リストを保持し、検査対象となるパケットと、適用されるアクション(ある場合)を規定します。デフォルトのアクションはサイレント破棄に設定されています。パケットに関する3つの基本的なアクションは、サイレント破棄、インターネット制御メッセージプロトコル(ICMP)または送信者へのTCPリセット応答による破棄、次のホップへの転送です。 [ 16 ]パケットは、送信元と宛先のIPアドレス、プロトコル、または送信元と宛先のポートによってフィルタリングできます。20世紀から21世紀初頭にかけてのインターネット通信の大部分は、伝送制御プロトコル(TCP)またはユーザーデータグラムプロトコル(UDP)をウェルノウンポートと組み合わせて使用​​することで、当時のファイアウォールはWebブラウジング、リモート印刷、電子メール送信、ファイル転送などの特定のトラフィックの種類を区別することができました。[ 17 ] [ 18 ]

ファイアウォール技術に関する最初の論文は1987年に発表され、Digital Equipment Corporation(DEC)のエンジニアがパケットフィルタファイアウォールとして知られるフィルタシステムを開発した際に発表されました。AT &Tベル研究所では、ビル・チェスウィックスティーブ・ベロビンがパケットフィルタリングの研究を続け、オリジナルの第一世代アーキテクチャに基づいて自社向けの実用モデルを開発しました。[ 19 ] 1992年には、スティーブン・マッキャンとヴァン・ジェイコブソンがローレンス・バークレー研究所在籍中にBSDパケットフィルタ(BPF)に関する論文を発表しました。[ 20 ] [ 21 ]

接続追跡

LinuxカーネルモジュールであるNetfilterを介したネットワークパケットの流れ

1989年から1990年にかけて、 AT&Tベル研究所の3人の同僚、デイブ・プレソット、ジャナダン・シャルマ、クシティジ・ニガムが、回線レベルゲートウェイと呼ばれる第2世代のファイアウォールを開発しました。[ 22 ]

第2世代のファイアウォールは、第1世代のファイアウォールの機能を実行しますが、2つのIPアドレスがOSIモデルの第4層(トランスポート層)でどのポート番号を使用して会話を行っているかを記憶することで、エンドポイント間の特定の会話に関する知識も保持し、ノード間の全体的な交換を検査できるようにします。[ 23 ]

アプリケーション層

マーカス・ラナム、ウェイ・シュー、ピーター・チャーチヤードは、1993年10月にファイアウォールツールキット(FWTK)として知られるアプリケーションファイアウォールをリリースしました。 [ 24 ]これは、 Trusted Information SystemsのGauntletファイアウォールの基礎となりました。[ 25 ] [ 26 ]

アプリケーション層フィルタリングの主な利点は、ファイル転送プロトコル(FTP)、ドメインネームシステム(DNS)、ハイパーテキスト転送プロトコル(HTTP)といった特定のアプリケーションやプロトコルを理解できることです。これにより、標準外のポートを使用している不要なアプリケーションやサービスを識別したり、許可されたプロトコルが悪用されているかどうかを検出したりすることができます。[ 27 ]また、強制暗号化DNS仮想プライベートネットワーク(VPN)を含む統合セキュリティ管理も提供します。[ 28 ] [ 29 ] [ 30 ]

2012 年現在、次世代ファイアウォールは、アプリケーション層でのより広範囲の検査を提供し、ディープ パケット インスペクション機能を拡張して、以下の機能を含むようになりました (ただし、これらに限定されません)。

エンドポイント固有

エンドポイントベースのアプリケーションファイアウォールは、プロセスが特定の接続を受け入れるべきかどうかを判断することで機能します。アプリケーションファイアウォールは、データパケットのプロセスIDを、データ転送に関与するローカルプロセスのルールセットと照合することで、接続をフィルタリングします。アプリケーションファイアウォールは、ソケット呼び出しにフックして、アプリケーション層と下位層間の接続をフィルタリングすることで機能を実現します。ソケット呼び出しにフックするアプリケーションファイアウォールは、ソケットフィルターとも呼ばれます。

ファイアウォールポリシー

ファイアウォールの動作の中核を成すのは、その意思決定プロセスを管理するポリシーです。これらのポリシーは総称してファイアウォールルールと呼ばれ、ネットワーク境界を越えて許可またはブロックされるトラフィックを決定する具体的なガイドラインです。[ 32 ] [ 33 ]

ファイアウォールルールは、ネットワークパケットを事前に定義されたセキュリティ基準に照らして評価するものです。ネットワーク間でデータを伝送するネットワークパケットは、ファイアウォールを通過させるには、ルールで定義された特定の属性に一致する必要があります。これらの属性には、一般的に以下が含まれます。

  • 方向: 受信または送信トラフィック
  • ソース: トラフィックの発信元 ( IP アドレス、範囲、ネットワーク、またはゾーン)
  • 宛先: トラフィックの送信先 ( IP アドレス、範囲、ネットワーク、またはゾーン)
  • ポート: さまざまなサービスに固有のネットワークポート (例: HTTPの場合はポート 80 )
  • プロトコル: ネットワークプロトコルの種類(例:TCPUDPICMP
  • 用途: L7 検査または AV サービスのグループ化。
  • アクション: トラフィックを許可するか、拒否するか、ドロップするか、またはさらに検査を要求するか

ゾーン

ゾーンとは、ネットワーク内の論理的なセグメントであり、セキュリティ要件が類似するデバイスをグループ化するものです。ネットワークを「テクニカル」、「WAN」、「LAN」、「パブリック」、「プライベート」、「DMZ」、「ワイヤレス」などのゾーンに分割することで、管理者はゾーン間のトラフィックフローを制御するポリシーを適用できます。各ゾーンには独自の信頼レベルがあり、データの入出力を規制する特定のファイアウォールルールによって制御されます。

一般的なデフォルトでは、LAN から WAN へのすべてのトラフィックを許可し、WAN から LAN へのすべてのトラフィックをドロップします。

サービス

ネットワーク用語では、サービスとは、通常、ネットワークポートとプロトコルによって識別される特定の機能を指します。一般的な例としては、ポート80と443のHTTP/HTTPS(Webトラフィック)、ポート21のFTP(ファイル転送)、ポート25のSMTP(電子メール)などが挙げられます。サービスは、ユーザーが利用するアプリケーションの背後にあるエンジンです。セキュリティの観点からは、サービスは攻撃の標的になりやすいため、サービスへのアクセス制御は非常に重要です。ファイアウォールは、どのサービスに誰が、どのようなコンテキストでアクセスできるかを規定するルールを採用しています。例えば、ファイアウォールは、不正なファイルのアップロードを防ぐためにFTPの受信リクエストをブロックする一方で、WebブラウジングのためのHTTPSの送信リクエストは許可するように設定できます。

アプリケーション

アプリケーションとは、ユーザーがネットワーク上で操作するソフトウェアシステムを指します。Webブラウザやメールクライアントから、複雑なデータベースシステムやクラウドベースのサービスまで、多岐にわたります。ネットワークセキュリティにおいて、アプリケーションは重要です。トラフィックの種類によってセキュリティリスクが異なるためです。そのため、ファイアウォールルールを作成し、トラフィックを生成または受信するアプリケーションに基づいてトラフィックを識別・制御することができます。アプリケーション認識機能を使用することで、ファイアウォールは組織のポリシーやコンプライアンス要件に従って特定のアプリケーションのトラフィックを許可、拒否、または制限することができ、脆弱なアプリケーションや望ましくないアプリケーションによる潜在的な脅威を軽減できます。

アプリケーションは、サービスのグループ化、またはL7 検査のいずれかになります。

ユーザーID

IPアドレスのみに基づいてファイアウォールルールを実装することは、ユーザーの位置やデバイスの使用状況が動的であるため、多くの場合不十分です。[ 33 ] [ 34 ]ユーザーIDはIPアドレスに変換されます。

ここで「ユーザーID」という概念が大きな影響力を発揮します。ユーザーIDを使用すると、固定の送信元IPアドレスや宛先IPアドレスではなく、個々のユーザーIDに基づいてファイアウォールルールを作成できます。これにより、接続元や使用デバイスに関係なく、特定のネットワークリソースにアクセスできるユーザーをよりきめ細かく制御できるため、セキュリティが強化されます。

ユーザーIDテクノロジーは、通常、 Active DirectoryLDAPRADIUSTACACS+などのディレクトリサービスを介してファイアウォールシステムに統合されます。これらのサービスは、ユーザーのログイン情報とネットワークアクティビティをリンクします。これにより、ファイアウォールはネットワークトポロジにのみ依存するのではなく、ユーザーグループ、ロール、または個々のユーザーアカウントに対応するルールとポリシーを適用できます。

ファイアウォールルールでユーザーIDを使用する例

学校が生徒によるソーシャルメディアサーバーへのアクセスを制限したいとします。ファイアウォールにルールを作成し、ユーザーID情報を利用してこのポリシーを適用することができます。

  1. ディレクトリサービスの設定 — まず、ユーザーグループのメンバーシップを保存するディレクトリサービス(この場合はActive Directoryサーバー)と通信するようにファイアウォールを設定する必要があります。
  2. ユーザー識別 — ファイアウォールは認証ログを解釈することで、ネットワークトラフィックを特定のユーザーIDにマッピングします。ユーザーがログオンすると、ファイアウォールはそのログインをユーザーのIPアドレスに関連付けます。
  3. ユーザーグループの定義 — ファイアウォールの管理インターフェース内で、ディレクトリサービスに基づいてユーザーグループを定義します。例えば、「学生」などのグループを作成します。
  4. ファイアウォール ルールの作成:
    • ソース: ユーザーID (例: 学生)
    • 宛先: IPアドレスのリスト
    • サービス/アプリケーション: 許可されたサービス (例: HTTPHTTPS )
    • アクション: 拒否
  5. デフォルトの許可ルールを実装する:
    • 出典: LANゾーン
    • 宛先: WANゾーン
    • サービス/アプリケーション: 任意
    • アクション: 許可

この設定により、認証され「Students」のメンバーとして識別されたユーザーのみがソーシャルメディアサーバーへのアクセスを拒否されます。LANインターフェースからのその他のトラフィックはすべて許可されます。

構成

ファイアウォールの設定は複雑で、エラーが発生しやすい作業です。設定エラーにより、ネットワークはセキュリティ上の問題に直面する可能性があります。[ 35 ]

ファイアウォールポリシーは通常、パブリック環境やプライベート環境など、使用しているネットワークの種類に応じて設定されます。管理者は、不正アクセス、マルウェア、その他のサイバー攻撃などの脅威への露出を軽減するために、トラフィックを許可または制限するルールを定義します。[ 36 ]

参照

参考文献

  1. ^ブドリガ、ヌーレディン(2010年)『モバイル通信のセキュリティ』ボカラトン:CRCプレス、pp.  32-33 . ISBN 978-0849379420
  2. ^ Macfarlane, Richard; Buchanan, William; Ekonomou, Elias; Uthmani, Omair; Fan, Lu; Lo, Owen (2012). 「ネットワークファイアウォールにおける正式なセキュリティポリシーの実装」 . Computers & Security . 31 (2): 253– 270. doi : 10.1016/j.cose.2011.10.003 .
  3. ^ Oppliger, Rolf (1997年5月). 「インターネットセキュリティ:ファイアウォールとその先」 Communications of the ACM . 40 (5): 94. doi : 10.1145/253769.253802 . S2CID 15271915 . 
  4. ^ Canavan, John E. (2001).ネットワークセキュリティの基礎(第1版). ボストン, マサチューセッツ州: Artech House. p. 212. ISBN 9781580531764
  5. ^チェスウィック、ウィリアム・R. ;ベロビン、スティーブン・M. (1994). 『ファイアウォールとインターネットセキュリティ:狡猾なハッカーの撃退』アディソン・ウェズリー. ISBN 978-0201633573
  6. ^リスカ、アラン(2014年12月10日)「インテリジェンス主導のセキュリティプログラムの構築」 Syngress、3ページ、ISBN 978-0128023709
  7. ^ Ingham, Kenneth; Forrest, Stephanie (2002). 「ネットワークファイアウォールの歴史と調査」(PDF) . 2006年9月2日時点のオリジナル(PDF)からアーカイブ。 2011年11月25日閲覧
  8. ^ Boren, Jacob (2019年11月24日). 「80年代のSF映画が未来を予言した10の出来事」 . ScreenRant . 2021年3月4日閲覧。
  9. ^メイズ、ジョン (2022-11-24). 「NTI - 気象庁」ウィキペディア2023-03-04に取得
  10. ^ Naveen, Sharanya. 「ファイアウォール」 . 2016年5月21日時点のオリジナルよりアーカイブ2016年6月7日閲覧。
  11. ^ 「DHCPサーバーおよびクライアントとしてのファイアウォール」 Palo Alto Networks . 2016年2月8日閲覧。
  12. ^ "DHCP" . www.shorewall.net . 2016年2月8日閲覧。
  13. ^ 「VPNファイアウォールとは? - Techopediaによる定義」 Techopedia.com 2016年2月8日閲覧
  14. ^ Vacca, John R. (2009).コンピュータと情報セキュリティハンドブック. アムステルダム: Elsevier. p. 355. ISBN 9780080921945
  15. ^ 「ファイアウォールとは?」 2015年2月12日時点のオリジナルよりアーカイブ。 2015年2月12日閲覧
  16. ^ペルティエ、ジャスティン、ペルティエ、トーマス・R. (2007). CISM認定資格完全ガイド. ホーボーケン: CRC Press. p. 210. ISBN 9781420013252
  17. ^ 「TCPとUDPの違い」www.skullbox.net 2018年4月9閲覧
  18. ^ウィリアム・R・チェスウィック、スティーブン・M・ベロビン、アビエル・D・ルービン(2003年)『ファイアウォールとインターネットセキュリティ:狡猾なハッカーを撃退する』(第2版)Addison-Wesley Professional. ISBN 9780201634662
  19. ^ Ingham, Kenneth; Forrest, Stephanie (2002). 「ネットワークファイアウォールの歴史と調査」(PDF) . p. 4. 2006年9月2日時点のオリジナル(PDF)からアーカイブ。 2011年11月25日閲覧
  20. ^ McCanne, Steven; Jacobson, Van (1992-12-19). 「BSD パケットフィルタ:ユーザレベルパケットキャプチャのための新しいアーキテクチャ」(PDF) 。2000-09-16時点のオリジナル(PDF)からのアーカイブ
  21. ^ McCanne, Steven; Jacobson, Van (1993年1月). 「BSDパケットフィルタ:ユーザレベルパケットキャプチャのための新しいアーキテクチャUSENIX .
  22. ^ M. Afshar Alam、Tamanna Siddiqui、KR Seeja (2013). 『コンピューティングとその応用における最近の発展』 IK International Pvt Ltd. p. 513. ISBN 978-93-80026-78-7
  23. ^ 「ファイアウォール」 MemeBridge . 2014年6月13日閲覧
  24. ^ 「ファイアウォールツールキットV1.0リリース」2018年12月28日閲覧。
  25. ^ John Pescatore (2008年10月2日). 「今週のネットワークセキュリティ史:ファイアウォールツールキット」 . 2016年4月29日時点のオリジナルよりアーカイブ。 2018年12月28日閲覧
  26. ^ Marcus J. Ranum、Frederick Avolio、「FWTKの歴史」
  27. ^ 「レイヤー7とは?インターネットのレイヤー7の仕組み」 Cloudflare . 2020年8月29日閲覧
  28. ^ 「必須のファイアウォール機能5選」 Check Point Software . 2021年11月8日閲覧
  29. ^ Stanfield, Nathan (2019年12月4日). 「11のファイアウォール機能なしでは生きていけない」 . Stanfield IT . 2021年11月8日閲覧
  30. ^ 「Safing Portmaster」 . safing.io . 2021年11月8日閲覧
  31. ^ Liang, Junyan; Kim, Yoohwan (2022).ファイアウォールの進化:次世代ファイアウォールによるより安全なネットワークの実現に向けて. pp.  0752– 0759. doi : 10.1109/CCWC54503.2022.9720435 . ISBN 978-1-6654-8303-2
  32. ^ 「ポリシー」 . docs.paloaltonetworks.com . 2024年11月21日閲覧。
  33. ^ a b「ファイアウォールポリシールールの作成」 . Juniper Networks . 2023年11月7日. 2024年11月21日閲覧
  34. ^ "User-ID" . docs.paloaltonetworks.com . 2024年11月21日閲覧
  35. ^ Voronkov, Artem; Iwaya, Leonardo Horn; Martucci, Leonardo A.; Lindskog, Stefan (2018-01-12). 「ファイアウォール設定の使いやすさに関する体系的な文献レビュー」 . ACM Computing Surveys . 50 (6): 1– 35. doi : 10.1145/3130876 . ISSN 0360-0300 . S2CID 6570517 .  
  36. ^ 「ファイアウォール構成とは何か、そしてなぜ重要なのか?Fortinet
「 https://en.wikipedia.org/w/index.php?title=ファイアウォール_(computing)&oldid =1332963131」より取得