エンタープライズ:特集 | 2003/08/22 18:22:00 更新 |
N+I NETWORK Guide 2002年9月号より転載
高速/多機能化が進むファイアウォール (2/2)
PART2 ネットワーク管理機能の拡張が特徴――ファイアウォールが提供する最新機能 |
それでは、現在のファイアウォールがどのような機能を持っているのか、セキュリティ機能とネットワーク機能、それぞれについて解説していこう。これらの基礎知識は、ファイアウォールを選定する際にも必要となるであろう。
IDSなどの侵入検知機能と連携していくファイアウォールのセキュリティ |
元来ファイアウォールに求められるセキュリティ機能だ。従来のパケット制御やアンチウイルス機能ばかりでなく、IDS(不正侵入検知装置)との機能統合や連携の強化がなされている。
●パケット制御とポート監視機能パケットの制御方式には、前述したようにアプリケーションゲートウェイ方式とパケットフィルタリング方式がある。
アプリケーションゲートウェイ型ファイアウォールでは、アプリケーション層、すなわちパケットのデータ内容を基に、さまざまなサービスプログラムがアクセス制御を行う。このようにプログラムがアクセスの中継をする仕組みのため、パケットフィルタリング型に比べてオーバーヘッドが大きく処理が遅い代わりに、より細かなアクセス制御が可能になる。ウイルスやワームによる自動発信メールを検知し、遮断するといった設定も可能だ。当然、パケットフィルタリング機能やサーキットレベルゲートウェイの機能もサポートしている。必要に応じてこれらの機能を使い分けることで、細かな設定が可能な利点とオーバーヘッドが大きくなる欠点を調整していくことができる。
一方、パケットフィルタリング型ファイアウォールは、IPパケットのヘッダ部の送信元アドレスと宛先アドレス、使用するポート番号を基にパケット通過の許可と拒否を判断する。限られた情報を基に制御するため、きめ細かなアクセス制御をすることができない代わりにアクセス制御が非常に高速に行われるのが利点だ。現在は、ポートを動的に開閉することで広範囲のポートを使用するアプリケーションに対応可能な、ダイナミックフィルタリング機能をサポートしている製品が主流だ。同時にステートフルインスペクション技術を利用し、IPパケットから上位層の情報を取得することで、アプリケーションゲートウェイとほぼ同等のチェック機能をサポートする製品も多い。
ゲートウェイ部分でウイルスを検知、阻止するアンチウイルス製品は、ファイアウォールとは別に提供され、それぞれ単体で利用される場合が多い。だが、ファイアウォールと連携するアンチウイルス機能を持つ製品も多くある。たとえば、チェックポイント・ソフトウェア・テクノロジーズのセキュリティプラットフォーム「OPSEC(Open Platform for Security)」が提供するCVP(Contents Vectoring Protocol)を使えば、別々のマシンで稼働するファイアウォールとアンチウイルス製品を連携させてウイルスチェックを行うことが可能だ。また、シマンテックのSymantec Gateway Securityもアンチウイルス製品と連携できる。
また、これまでファイアウォールでは制御が難しかった侵入や攻撃手法に対応するIDS機能を搭載したり、連携したりする製品が発表されている。たとえば、NetScreenやSonicWALLなどには、Ping Of Death、Land Attack、Flood攻撃などのサービス停止攻撃を検知する仕組みが標準装備されている製品もある。FireWall-1はOPSECに準拠したSAMP(Suspicious Activity Monitoring Protocol)に対応してIDSが検知した攻撃を遮断する機能を持っている。CyberGuardはシマンテックのIDS製品NetProwlerと連携することが可能だ。他にもIDS製品と連動する仕組みを予定しているファイアウォール製品も発表されている。
次々と強化されるネットワーク管理機能 |
ネットワークの利用形態が増え、ゲートウェイ部分で管理すべきことが増えるにつれて、ファイアウォールも多機能化している。DMZやVPNの構築以外にも、QoS機能やロードバランシング機能も搭載してきているのだ。
●DMZの構築DMZ(DeMilitarized Zone)は、外部から直接内部ネットワークにアクセスさせないために用意された、特定のセグメント(領域)である。ここには外部に公開すべきWebサーバなどが設置され、セキュリティレベルを社内LANと完全に切り分けることができる。
このDMZはファイアウォールのルーティング機能を介し、特定のセグメントを作ることでも構築できるが、最近の主流は、ファイアウォールを利用して外部と内部のほかに第3のインターフェイスを設けることで構築する。DMZの構築は、ほとんどのファイアウォール製品でサポートされているが、特にアプライアンス製品では、第2、第3のセグメント用インターフェイスまで出荷段階でサポートされているものもある。
●VPN機能VPN機能を標準でサポートするファイアウォール製品は多い。VPNの接続形態には本社−支社間のようにLAN間を接続する場合と、モバイルユーザーが会社にアクセスするリモートアクセス接続に分けられる。
リモートアクセス接続を利用する場合には、通常はクライアント用の専用ソフトウェアが提供されている。一例としては、チェックポイント・ソフトウェア・テクノロジーズのFireWall-1ではSecureRemote(またはSecureClient)、米ネットスクリーン・テクノロジーズのNetScreenではNetScreen-Remote、米サイバーガードのCyberGuardにはCyberGuard VPN Clientなどがある。
●QoS機能パケット制御と同時にトラフィックをコントロールする帯域制御機能を、ファイアウォール上で実現している製品もある。たとえば、ソフトウェア製品ではチェックポイント・ソフトウェア・テクノロジーズのFloodGate-1だ。このFloodGate-1は、同社のFireWall-1と連携してネットワークのトラフィック状態を入手、相対的値でコントロールすることが可能である。
アプライアンス製品で帯域制御機能を持つのはNetScreenである。NetScreenは独自のアルゴリズムでトラフィックの制御を行い、保証帯域、最大帯域、優先を指定することができる。
●ハイアベイラビリティとロードバランシング機能ファイアウォールがインフラの中心となるに従い、ネットワーク機器として重要なハイアベイラビリティとロードバランシング機能が求められており、これに応える製品が登場してきている。
たとえば、ソフトウェア製品としてストーンソフトのStoneBeatがある、また独自にファイアウォールとハイアベイラビリティ機能に特化したStoneGateを製品化している。
アプライアンス製品では、ノキアのIP Security Seriesが、VRRP(Virtual Router Redundancy Protocol)とFireWall-1の同期機能を利用して、二重化と負荷分散を実現している。ほかにも、NetScreenやSonicWALL製品はホットスタンバイ構成を取ることが可能であり、またNetScreenはサーバへのトラフィックを負荷分散する機能も搭載している。
●ギガビットイーサネットへの対応WAN回線が高速になるにつれ、将来を見越してギガビットイーサネット対応製品が現れてきた。だが一方、ファイアウォールで行われるセキュリティポリシーの参照や、NAT、VPN機能などのアクセス制御処理が複雑になるにつれ、ファイアウォールの高速化は難しくなる。これを解決する方法として、ファイアウォール製品は大きく2つのアプローチをとってきている。
その1つは、NetScreenなどで用いられている方法で、ASIC(Application Specific Integrated Circuit)など高速の専用ハードウェア上で処理を行うものだ。同様の手法として、複数のCPUを使用する米サイバーガードのSTARLordや米ウォッチガード・テクノロジーズのRapisStreamシリーズがある。
もう1つは、ファイアウォールとしてカスタマイズされ、無駄を省かれた独自OS上で処理を行う方法である。ノキアのIP Security SeriesはFireWall-1上で処理されるステート情報との比較を独自OS(IPSO)で行うことで処理を高速にしている。
関連リンクN+I Network Guide
[岡田卓也, 五十嵐史夫,N+I NETWORK Guide]