Firewall超基本機能まとめ


この記事は公開されてから1年以上経過しています。情報が古い可能性がありますので十分ご注意ください。

こんにちは、きおかです。

現在関わっている認証基盤システムの実装の中で、Firewallに関して詰まった部分があったので、前回のWebブラウザのプログラムに続き、また備忘録を置いておこうと思います。

パケットフィルタリング

静的パケットフィルタリング

予め定義しておいたポート番号やIPアドレスなどの条件に基づいてパケットをフィルタリングする。
AWSにおいてはネットワークACLが該当する。ネットワークACLはステートレスであり、すなわち戻り通信が前提のアウトバウンド通信を制限する場合は、戻りの通信も定義する必要がある。
ネットワークACLはサブネットを制御の対象とする。

動的パケットフィルタリング(≒ステートフルインスペクション)

戻りを自動で許可し、通信が終了すれば自動で許可を削除するか、保存しておくことができる。
AWSにおいてはセキュリティグループが該当する。例えばアウトバウンドで443を許可していれば(暗号化のハンドシェイク的な通信で戻り通信が必然になるが)、インバウンドで許可する必要がない。

ルータとファイアウォールの基本ポリシーの違い

ルータは経路選択をして基本的に全てを許可し、必要に応じて拒否ルールを手動で追加する。
ファイアウォールは基本的に全てを拒否し、許可する通信を手動で定義する。

ファイアウォールの冗長化とは

VRRP(Virtual Router Redundancy Protocol)を用いる。主系(Active)と副系(Standby)の間で自動的に切り替えが行われ、一方がダウンしてももう一方が通信を引き継ぐ。

uRPF(Unicast Reverse Path Forwarding)

uRPFは送信元IPアドレスも検査する(ルーターは基本的に、宛先IPアドレスとルーティングテーブルのみを考える)。
特にプロバイダでは、プロバイダ内のルートテーブルに記載のない送信元IPアドレスが記載されているパケットが届いた場合、uRPFに基づきそのパケットを破棄する。

調査課題

上記はFirewallの基本要素ですが、NGFW(Next Generation FireWall:次世代ファイアウォール)やUTM(Unified Threat Management)やWAF(Web Application Firewall)といったものがあるらしく、今は理解できませんでした。

さいごに

学ぶことが多いのと同時に、ネットの記事だと割と間違ったこと書いてるものも多いみたいで、しっかりと先輩やメンターの方に相談しながら勉強を進めたいと思います。

今回はここまで!

Last modified: 2023-11-26

Author