情報処理のWeb教科書―IPA情報処理試験対策のお供に!

ファイアウォールとは―概要やインバウンド、アウトバウンドの設定など。

トップ テクノロジ系 技術要素 ネットワーク ネットワーク方式 インターネット技術 ファイアウォール

ファイアウォールとは、インターネットからの攻撃や不正アクセスから内部のネットワークを保護するための機構です。この記事ではファイアウォールの概要やインバウンド、アウトバウンドの設定などをまとめています。

▲記事トップへ

目次

この記事の目次です。

1. ファイアウォールとは

2. ファイアウォールの設定

もっと知識を広げるための参考

更新履歴

1.ファイアウォールとは

ファイアウォールとは、インターネットからの攻撃や不正アクセスから組織内部のネットワークを保護するためのシステムのことをいいます。 あらかじめ設定されたルールに従い、パケットの中継可否を制御するとともに、結果をログに記録するなどの機能があります。

2.ファイアウォールの設定

あらかじめ設定されたルールに従い、パケットの中継可否を制御します。 インバウンド、アウトバウンドなどファイアウォールの設定に関連する知識について見ていきます。

パケットフィルタリング

パケットフィルタリングとは、受信したパケットを検査し、通過させるか否かを判断することを意味します。 一般にルータやファイアウォールがこの機能を実装しています。 検査対象となるデータは、IPアドレスやポート番号といった、パケット ヘッダに含まれる情報です。

インバウンド

インバウンドとは、インターネットから内部ネットワークへ向けての上り方向のパケットのことをいいます。

アウトバウンド

アウトバウンドとは、内部ネットワークからインターネットへ向けての下り方向のパケットのことをいいます。

パケットフィルタ型ファイアウォールの設定

パケットフィルタリング型のファイアウォールは、一般的に発信元IPアドレス、送信先IPアドレス、プロトコル種別(TCP、UDP、ICMPなど)、パケットの方向、発信元ポート番号、送信先ポート番号をフィルタリングするファイアウォールです。

一般的なパケットフィルタリング型のファイアウォールの設定の例を上げて見ていきます。

対応プロトコルの例

対応プロトコルとフィルタ指定可能な項目の例です。

対応プロトコルとフィルタ指定可能な項目の例
プロトコル指定可能な項目
TCP送信先ネットワーク(単一IPも可)、送信元ポート番号、送信先ポート番号
UDP送信先ネットワーク(単一IPも可)、送信元ポート番号、送信先ポート番号
ICMP送信先ネットワーク(単一IPも可)
fragment
分割されたIPパケットの2パケット目以降
送信先ネットワーク(単一IPも可)
IP送信先ネットワーク(単一IPも可)

フィルタルールの例

フィルタルールは、設定されたルールリストの上から順に評価され、条件にマッチしたパケットに対して設定した動作(allow:許可/deny:拒否)が行われます。

全てのパケット拒否

インバウンドもアウトバウンドも全てのパケットを拒否する場合はTCPやUDPなどすべてのプロトコルのベースとなるIPプロトコルで実現できます。

全てのパケットを拒否する
プロトコル送信元ネットワーク送信元ポート送信先ポート動作
IP0.0.0.0/0**deny
特定IPからのSSH接続許可

特定のIPからのSSH接続を許可する場合の設定例です。 戻りパケットに使用されるポート(Linuxの場合デフォルトで32768-61000)などSSH接続に必要な通信を考慮する必要があります。

特定のIPからのSSH接続を許可する場合の設定例
プロトコル送信元ネットワーク送信元ポート送信先ポート動作
TCP特定IPアドレス*22allow
TCP0.0.0.0/0*32768-61000allow
UDP0.0.0.0/0*32768-61000allow
fragment0.0.0.0/0**deny
IP0.0.0.0/0**deny
特定IPからのSSH接続許可+NTPサーバの応答許可

上記に加えNTPサーバからの応答を許可する場合の例です。

特定のIPからのSSH接続を許可する場合の設定例
プロトコル送信元ネットワーク送信元ポート送信先ポート動作
TCP特定IPアドレス*22allow
UDPNTPサーバIPアドレスNTPサーバポート*allow
TCP0.0.0.0/0*32768-61000allow
UDP0.0.0.0/0*32768-61000allow
fragment0.0.0.0/0**allow
IP0.0.0.0/0**deny
特定IPからのSSH接続許可+NTP+HTTP+HTTPS+PING

上記に加え、全ての痩身元からHTTPとHTTPSの接続を許可する場合の例です。

特定のIPからのSSH接続を許可する場合の設定例
プロトコル送信元ネットワーク送信元ポート送信先ポート動作
TCP0.0.0.0/0*80allow
TCP0.0.0.0/0*443allow
TCP特定IPアドレス*22allow
UDPNTPサーバIPアドレスNTPサーバポート*allow
TCP0.0.0.0/0*32768-61000allow
UDP0.0.0.0/0*32768-61000allow
ICMP0.0.0.0/0**allow
fragment0.0.0.0/0**allow
IP0.0.0.0/0**deny

もっと知識を広げるための参考

更新履歴

戻る

スポンサーリンク

情報処理の知識体系

各試験の問題と解説

ランダム出題・採点アプリ

プログラミング

スポンサーリンク