本記事は、ファイアウォールとポリシーに関するNISTのガイドラインから、ファイアウォールについて学んだことをまとめたものです。
NIST. (2009). Guidelines on Firewalls and Firewall Policy (NIST Special Publication 800-41 Revision 1). National Institute of Standards and Technology. Retrieved from https://nvlpubs.nist.gov/nistpubs/legacy/sp/nistspecialpublication800-41r1.pdf
2.1.3 Application Firewalls
アプリケーション層のヘッダやデータを見て、パケットをフィルタリングする。
組織内で許可されていないファイル形式(.exeとか)をブロックできる。
脆弱性のあるCA証明書や、FTPのputコマンド、バッファオーバーフローなどをブロックできる。
2.1.4 Application-Proxy Gateways
… some application-proxy gateways have the ability to decrypt packets (e.g., SSL-protected payloads), examine them, and re-encrypt them before sending them on to the destination host.
アプリケーションプロキシゲートウェイは、パケットを復号し、その内容を検査し、再暗号化してから宛先ホストに送信する能力を持っている。
パケットフィルタリングやステートフルインスペクションに比べるとヘヴィ。
高い帯域幅やリアルタイム性が要求されるとつらい。これは専用のプロキシサーバを置くことで緩和できる。
また、新しいネットワークアプリケーションやプロトコルのサポートも難しい。
大抵のベンダーは「汎用エージェント(generic agent)」というものを提供している。
これらを用いる場合、ただ「トンネル(バイパスとも)」してるだけで、
アプリケーションプロキシゲートウェイの効能が下がる。
2.1.5 Dedicated Proxy Servers
アプリケーションプロキシゲートウェイのファイアウォール機能を落とし、プロキシ機能を強化したもの。
特にHTTPなど一般的なアプリケーションの分析やバリデーションに特化してることが多い。
メインのファイアウォールはインバウンド通信を受け入れ、どのアプリケーションであるか判別し、適切なアプリケーションプロキシ(例えばメールプロキシなど)に流すようにする構成を取れる。
アプリケーションプロキシ(例えばメールプロキシなど)は、トラフィックのフィルタリングやロギングなどを行い、適切な内部のシステムに流すようにする。
外向きの通信も同様の動きをする。
専用プロキシサーバは、ファイアウォールの負荷を軽減し、ファイアウォールで実施するのが諸々の理由で難しい、特化したフィルタリングやロギングを行うことを目的とするのが一般的。
特によくあるのがアウトバウンド通信のHTTPプロキシサーバ。
2.1.9 Web Application Firewalls
ウェブサーバで用いられるHTTPプロトコルの通信に特化して、攻撃を検知して対処する、特化型アプリケーションファイアウォール。
攻撃を検知して動的に対処するという点から、他のファイアウォールと比べると比較的新しい技術であり、
脆弱性とその対策は頻繁に変わっているので、従来のファイアウォールとは一線を画して捉えられるべきである。
3.3 Architecture with Multiple Layers of Firewalls
ファイアウォールはセキュリティ要件が異なるネットワーク領域たちを分離するために使う。
ファイアウォールは論理ネットワークの境界となるべき地点に配置されるべきである。
これは、ある単一のネットワーク経路を複数の経路に分ける地点/ノードとなるか、
単一のネットワーク経路の道中に配置されるかが基本である。
具体的には、入口地点(ingress point)であるルータの直前に配置されるか、もしくはルータと同居するか。
ネットワークファイアウォールの多層利用はよくある。
例えば、まずインターネットからのアクセスを管理するファイアウォール。
さらに、例えば財務部からのアクセスを管理するファイアウォール。
このように、目的別にファイアウォールを配置・導入・設定する方法がある。
これは管理しやすそう。
ファイアウォールには内側のファイアウォールと外側のファイアウォールという概念がある。
この「内側」と「外側」は、例えば「インターネット側」と「内部ネットワーク側」の場合もあるし、
「財務部」と「それ以外」という場合もある。
まとめると、ファイアウォールはネットワークアクセスの境界となるべき地点に配置されるべきであり、
それは1つである必要はなく、アクセスの境界点が増えればファイアウォールも同様に増えるべきである。
ただし、ファイアウォールの数が多くなると、それだけ管理が難しくなる。