ファイアウォールとは―概要やインバウンド、アウトバウンドの設定など。
トップ
テクノロジ系
技術要素
ネットワーク
ネットワーク方式
インターネット技術
ファイアウォール
ファイアウォールとは、インターネットからの攻撃や不正アクセスから内部のネットワークを保護するための機構です。この記事ではファイアウォールの概要やインバウンド、アウトバウンドの設定などをまとめています。
目次
この記事の目次です。
1.ファイアウォールとは
ファイアウォールとは、インターネットからの攻撃や不正アクセスから組織内部のネットワークを保護するためのシステムのことをいいます。 あらかじめ設定されたルールに従い、パケットの中継可否を制御するとともに、結果をログに記録するなどの機能があります。
2.ファイアウォールの設定
あらかじめ設定されたルールに従い、パケットの中継可否を制御します。 インバウンド、アウトバウンドなどファイアウォールの設定に関連する知識について見ていきます。
パケットフィルタリング
パケットフィルタリングとは、受信したパケットを検査し、通過させるか否かを判断することを意味します。 一般にルータやファイアウォールがこの機能を実装しています。 検査対象となるデータは、IPアドレスやポート番号といった、パケット ヘッダに含まれる情報です。
インバウンド
インバウンドとは、インターネットから内部ネットワークへ向けての上り方向のパケットのことをいいます。
アウトバウンド
アウトバウンドとは、内部ネットワークからインターネットへ向けての下り方向のパケットのことをいいます。
パケットフィルタ型ファイアウォールの設定
パケットフィルタリング型のファイアウォールは、一般的に発信元IPアドレス、送信先IPアドレス、プロトコル種別(TCP、UDP、ICMPなど)、パケットの方向、発信元ポート番号、送信先ポート番号をフィルタリングするファイアウォールです。
一般的なパケットフィルタリング型のファイアウォールの設定の例を上げて見ていきます。
対応プロトコルの例
対応プロトコルとフィルタ指定可能な項目の例です。
| プロトコル | 指定可能な項目 |
|---|---|
| TCP | 送信先ネットワーク(単一IPも可)、送信元ポート番号、送信先ポート番号 |
| UDP | 送信先ネットワーク(単一IPも可)、送信元ポート番号、送信先ポート番号 |
| ICMP | 送信先ネットワーク(単一IPも可) |
| fragment 分割されたIPパケットの2パケット目以降 | 送信先ネットワーク(単一IPも可) |
| IP | 送信先ネットワーク(単一IPも可) |
フィルタルールの例
フィルタルールは、設定されたルールリストの上から順に評価され、条件にマッチしたパケットに対して設定した動作(allow:許可/deny:拒否)が行われます。
全てのパケット拒否
インバウンドもアウトバウンドも全てのパケットを拒否する場合はTCPやUDPなどすべてのプロトコルのベースとなるIPプロトコルで実現できます。
| プロトコル | 送信元ネットワーク | 送信元ポート | 送信先ポート | 動作 |
|---|---|---|---|---|
| IP | 0.0.0.0/0 | * | * | deny |
特定IPからのSSH接続許可
特定のIPからのSSH接続を許可する場合の設定例です。 戻りパケットに使用されるポート(Linuxの場合デフォルトで32768-61000)などSSH接続に必要な通信を考慮する必要があります。
| プロトコル | 送信元ネットワーク | 送信元ポート | 送信先ポート | 動作 |
|---|---|---|---|---|
| TCP | 特定IPアドレス | * | 22 | allow |
| TCP | 0.0.0.0/0 | * | 32768-61000 | allow |
| UDP | 0.0.0.0/0 | * | 32768-61000 | allow |
| fragment | 0.0.0.0/0 | * | * | deny |
| IP | 0.0.0.0/0 | * | * | deny |
特定IPからのSSH接続許可+NTPサーバの応答許可
上記に加えNTPサーバからの応答を許可する場合の例です。
| プロトコル | 送信元ネットワーク | 送信元ポート | 送信先ポート | 動作 |
|---|---|---|---|---|
| TCP | 特定IPアドレス | * | 22 | allow |
| UDP | NTPサーバIPアドレス | NTPサーバポート | * | allow |
| TCP | 0.0.0.0/0 | * | 32768-61000 | allow |
| UDP | 0.0.0.0/0 | * | 32768-61000 | allow |
| fragment | 0.0.0.0/0 | * | * | allow |
| IP | 0.0.0.0/0 | * | * | deny |
特定IPからのSSH接続許可+NTP+HTTP+HTTPS+PING
上記に加え、全ての痩身元からHTTPとHTTPSの接続を許可する場合の例です。
| プロトコル | 送信元ネットワーク | 送信元ポート | 送信先ポート | 動作 |
|---|---|---|---|---|
| TCP | 0.0.0.0/0 | * | 80 | allow |
| TCP | 0.0.0.0/0 | * | 443 | allow |
| TCP | 特定IPアドレス | * | 22 | allow |
| UDP | NTPサーバIPアドレス | NTPサーバポート | * | allow |
| TCP | 0.0.0.0/0 | * | 32768-61000 | allow |
| UDP | 0.0.0.0/0 | * | 32768-61000 | allow |
| ICMP | 0.0.0.0/0 | * | * | allow |
| fragment | 0.0.0.0/0 | * | * | allow |
| IP | 0.0.0.0/0 | * | * | deny |
もっと知識を広げるための参考
-
ネットワーク
通信プロトコル、osi基本参照モデル7階層の覚え方などネットワーク関連の知識をまとめています。
-
テクノロジ系
情報処理試験対策用のサイトオリジナル教科書をテーマにテクノロジ系の知識をまとめています。
更新履歴
- 2019/7/5 記事をUPいたしました。