第19回 FWにおけるパケットフィルタリング(その3)

photo-1469614369149-4f0c1468c331

前回の「ファイアウォール(FW)におけるパケットフィルタリング(その2)」ではTCP通信でのパケットフィルタリングと静的フィルタリングのデメリットを紹介しましたが、今回はFWの機能を紹介します。

前回の「ファイアウォール(FW)おけるパケットフィルタリング(その2)」でも紹介しましたが、TCP通信におけるFWの役割は下記の3つの機能となります。

  • ダイナミックパケットフィルタリング
  • ステートフルインスペクション
  • アプリケーションゲートウェイ

静的パケットフィルタリングでは単に外側から着信したTCPのコネクション開始のパケット(ACKフラグあり)は攻撃の兆候とみなされることが多く、ACKフラグの付いたTCPのパケットはLANのクライアントの応答と解釈され、無条件で通過してしまいます。

ダイナミックパケットフィルタリングでは、TCPのコネクションを管理し、動的にポートを開け閉めしますので、上記のデメリットを解消する事ができます。

下図はダイナミックパケットフィルタリングを用いたWeb通信の例です。

①LAN内のクライアントからインターネット側へリクエスト応答を送信し、通過許可のルールが入っているため、パケットはFWを通過する。

②応答のパケット(Webサーバからの戻りの通信)と識別したFWはこの戻りの通信に対して自動的にポートを開放する。

③元々、通過許可のルールが入っていない攻撃者からの通信は通過させない。

上記はあくまでもIPやTCPでの通信でありますが、動的パケットフィルタリングをさらに拡張し、アプリケーション層の情報まで捉えてアクセス制御を実現する「ステートフルインスペクション」という方法を採用し、戻りの通信を通過させます。

FTPのように1つのファイルのやりとりに対して2つのコネクションを構築する通信でもステートフルインスペクション機能により、確実に制御することができます。

最後に「アプリケーションゲートウェイ」の役割を紹介します。

これまでのパケットフィルタリングはIPやTCP/UDPなど低いレイヤで動作するものでしたが、アプリケーション層のデータを調べることで、より詳細なアクセス制御を行なうのが、アプリケーションゲートウェイという方式です。

例えば、LAN内のクライアントからのインターネットへのアクセスの場合、不正なURLへのアクセスがあった場合この通信を遮断するといった機能があります。

おおよその察しはつくと思いますが、アプリケーション層での制御も実施しているため、処理の負荷が非常に高いというのが分かると思います。

リソース不足によってFWそのものがダウンしてしまっては元も子もありません。

そのため、FWではIPやTCP/UDPなどのレイヤーを制御して、より上位のレイヤーはProxyなどの専用の機器を導入する手法が一般的なネットワーク設計となっています。

取得情報

ISO-27001

IS 578154 / ISO 27001

ISO認証取得

  • 立川本社
  • 鳥取支社
  • TWS総合研究所

認証範囲:

  • コンピュータソフトウェア受託開発
  • システムエンジニアリングサービス
  • 情報システムの運用・保守
  • パッケージソフトウェアの開発・保守
  • コンサルティング事業、トレーニング事業及び情報セキュリティ事業

ISO-9001

FS591336 / ISO 9001

ISO認証取得

  • 立川本社
  • 鳥取支社
  • TWS総合研究所

認証範囲:

本社及び鳥取支店にて行う以下の業務

  • コンピュータソフトウェア受託開発
  • 情報システムの運用・保守
  • パッケージソフトウェアの開発・保守
  • TWS総合研究所で行うコンサルティング事業、トレーニング事業及び情報セキュリティ事業

ISO-9001

EMS602917 / ISO14001

ISO認証取得

  • 立川本社
  • 鳥取支社
  • TWS総合研究所

認証範囲:

  • コンピュータソフトウェア受託開発
  • システムエンジニアリングサービス
  • 情報システムの運用・保守
  • パッケージソフトウェアの開発・保守
  • コンサルティング事業、トレーニング事業及び情報セキュリティ事業

ISO45001

OHS 692647 / ISO45001

ISO認証取得

  • 立川本社
  • 鳥取支社
  • TWS総合研究所

認証範囲:

  • コンピュータソフトウェア受託開発
  • システムエンジニアリングサービス
  • 情報システムの運用・保守
  • TWS総合研究所
    コンサルティング事業、トレーニング事業及び情報セキュリティ事業

プライバシーマーク

当社は、個人情報の適切な取り扱いを行う事業所にのみ許可される「プライバシーマーク」の付与認定を受けています。

セキュリティ対策自己宣言

株式会社テイルウィンドシステムは社員が働きやすい環境作りに取り組み、平成29年度の東京都ライフ・ワーク・バランス企業として認定を受けました。

テイルウィンドシステムグループ方針

プライバシーポリシー