ファイアウォール専用機の必要性【ざっくり解説】

一般的にネットワークを守るにはファイアウォールを導入します。
ネットワークを学ぶと、ルータでもセキュリティ機能を設定できることに気づきます。
それなのに、わざわざファイアウォール専用機を導入することに疑問を感じた方はいませんでしょうか。
本記事では企業がファイアウォール専用機をわざわざ導入する理由についてざっくり解説します。

ファイアウォールとは

ファイアウォールは主に企業などのネットワークとインターネットの境界に設置され、
インターネットからの不正な通信を防御します。
ファイアウォール専用機は様々な種類の製品が存在しますが、
中でもCisco Systems社のASAJuniper社のSRXFortinet社のFortiGateが有名です。

主なファイアウォール機能の解説

ファイアウォール機能では主に下記の2点が挙げられます。

パケットフィルタリング

パケットのヘッダ情報をチェックし、
発信者や宛先のIPアドレスや使用するプロトコルの情報を確認し、許可された通信か否かを判断します。
許可されていない通信であれば、その通信を破棄します。

アドレス変換(NAPT)

インターネットで使われるグローバルIPアドレスと、
ローカルなネットワークで使われるプライベートIPアドレスを変換します。
この機能によって、ローカル環境にある端末はインターネットに接続が出来ます。

インターネット側からは実際のプライベートIPアドレスが隠蔽される上に、
アドレス変換の仕様上、インターネットからローカルに宛てた通信を破棄できるため、
セキュリティ対策としても有効な技術です。

ファイアウォール専用機の特徴

上記のファイアウォール機能は高価なファイアウォール専用機ではない、普通のルータでも実装可能です。
ファイアウォール専用機には下記の特徴があり、それが故に多くのネットワークで採用されています。

高機能

ステートフル・インスペクション(高度なフィルタリング機能)

予め許可する通信を決めておくパケットフィルタリングの派生として、
通信セッションを監視して自動的に通信許可を行うステートフル・インスペクションという機能があります。
(応募もしてない懸賞の当選メールがいきなり来たら、確認すらせずメールを破棄するイメージ)

この機能のメリットは、パケットフィルタリングよりセキュアな事と、
設定するルールの量を減らせることです。

ステートフル・フェイルオーバー(冗長化機能)

ファイアウォール製品における冗長化機能として、
ステートフル・フェイルオーバーという機能があります。

企業などのネットワークでは、機器の故障に備え予備の機器を待機させておきますが、
ステートフル・インスペクションで通信セッションの情報を使うので、
予備の機器にも通信セッション情報を共有しておく機能です。
(せっかく待機系に切り替えても、通信セッションにないから不正な通信として誤って判断しない様にするため)

セキュリティコンテキスト(仮想化機能)

セキュリティコンテキストと呼ばれる、仮想ファイアウォールを作成する機能があります。
この機能により、セキュリティ境界ごとに個別の仮想ファイアウォールを配置するなど、
セキュリティ要件に合わせた柔軟な設計が可能。

通信ログ証跡を残せる

許可/不許可した通信をログに残せます。
SNMPを利用して通信ログをサーバに蓄積することができます。
不正なアクセスがあった際も、時間・発信元IPアドレス・宛先IPアドレス・利用サービスなどの通信ログを確認可能になります。

パフォーマンス上限値が高い

パケットフィルタリングのルール数や、アドレス変換のセッション数など、
機器に設定できる数の上限値が高いです。
セキュリティ要件の複雑化や仮想化機能によっては、
1台のファイアウォールに膨大な量の設定が積み重なってしまう事があります。
そういった場合も、ファイアウォール専用機を選定する理由となります。

機器のパフォーマンス上限は、
機器のデータシートを確認したりメーカーに問い合わせて確認できます。

Ciscoはサポートコミュニティでも情報を開示しています。

参考:Cisco ASAのACL推奨設定数

まとめ&余談

業務の要件上、パフォーマンスと冗長性が専用機導入のポイントとなります。
ファイアウォール専用機の情報は少なくて調査するのが大変なので、
本記事が少しでも皆さまの参考になれば幸いです。

余談ですが筆者はパフォーマンス上限超過による通信障害を何度か経験しました。
発覚した時にはもう手遅れなことが多いので、日々のパフォーマンス管理と作業前後の状態確認は必須です。
コンテキストやVRF(仮想ルータ)など複数のテーブルを持つ仮想化機能を使用する場合はご注意を。

タイトルとURLをコピーしました