連載
» 2001年11月08日 00時00分 公開

ファイアウォール運用の基礎(最終回):ファイアウォール運用のコツ (1/2)

[田原祐介,株式会社ラック]

ファイアウォール運用の前に必要なこと

 本格的にファイアウォールの運用を始める前に、ファイアウォール構築の注意点について、前回までのおさらいをしておきましょう。

●ファイアウォールの仕組みと役割を正しく理解する

 ファイアウォールだけで、すべての不正アクセスが防げるわけではありません。ファイアウォールで“できること/できないこと”を正しく理解し、そのほかのセキュリティ対策も必ず施しましょう。

●運用のことも考えた機器の選定と設計を行う

 ファイアウォールでは、異なるネットワーク間のパケットがすべて通過します。そのため、トラフィック量の見積もりを見誤ると、ファイアウォールがボトルネックとなって通信速度が低下してしまいます。さらに、ハードウェア障害などが発生してファイアウォールが止まってしまうと、通信がいっさいできなくなり、業務に多大な影響を与えてしまうでしょう。そのため、ファイアウォールに使用する機器は、障害などの可能性を十分考慮して選定しましょう。また、障害が発生したときに迅速な復旧ができるような体制をつくっておく必要があります。

●設定変更は十分検討したうえで行う

 ファイアウォールのルールは複雑になりがちですが、常にシンプルに保っておくように心掛けます。むやみやたらにルールを変更すると、セキュリティホールの発生につながりますし、思わぬところに影響が出たりします。設定の変更が必要なときは、本当に必要なのか十分に検討を行ったうえで、変更内容の記録(なぜ? いつ? どんな? などの情報)も必ず残しておきましょう。

●ログの管理の方法を決めておく

 万が一不正アクセスを許してしまったときは、サーバ側のログはあてになりません。なぜなら、不正アクセスが行われたサーバのログは改ざんされている可能性があるからです。しかし、ファイアウォールのログに関しては、ファイアウォールへの不正アクセスが成功しない限り、信用できる情報です。そのため、ファイアウォールのログは、バックアップの手順などの管理方法を確立しておいて、確実に残すようにしましょう。ログの記録と管理方法については、また後ほど詳しく紹介します。

●使用するソフトウェアは注意深く選び、余計なものはインストールしない

 インストールされているソフトウェアが多いと、それだけセキュリティホールが発生しやすくなります。また、万が一不正アクセスを許してしまったとき、悪用される可能性が高くなります。これらは、ファイアウォールに限らずセキュリティ対策の基本ですが、ファイアウォールのようなセキュリティの要所においては、特に気を付ける必要があります。

●OS/ソフトウェアはできるだけ新しいものを使用し、必ず最新パッチを適用する

 ファイアウォール上で使用するOSやソフトウェアのセキュリティには、特に気を使う必要があります。そのため、できるだけ新しい最新バージョンのソフトウェアや、最新のパッチを適用しましょう。ただし、市場に出回ったばかりで、評価が定まっていないような最新のOSやソフトウェアは、まだ発見されていない致命的なセキュリティホールが存在する可能性があるため、あまりお勧めできません。多数の導入実績があり、なおかつ信頼できるソフトウェアを使うようにしましょう。

●構築中のサーバはネットワークに接続しない

 後ほど事例を紹介しますが、イントラネット(社内ネットワーク)だからといって、無防備な状態のサーバをネットワークにつないではいけません。特に、構築中のサーバは最も無防備な状態になります。動作確認などでネットワークに接続する必要があるときは、信頼できるホストだけで構成されたプライベートなネットワークを用意して作業しましょう。また、構築後のサーバに対しては必ず検査を行い、正しく設定が行われていることを確認してから、ネットワークに接続しましょう。

FireWall-1以外のファイアウォール製品

 現在、CheckPoint社のFireWall-1が圧倒的なシェアを持っていますが、最近になって数社から新製品が登場しています。ここでは、FireWall-1以外の製品について紹介します。

●Internet Security and Acceleration(ISA)Server 2000

 マイクロソフトのセキュリティ製品であり、同社の「Proxy Server 1.0/2.0」の後継製品という位置付けでもあるため、ファイアウォール機能以外にプロキシ・サーバの機能も持っています。そのためインストール時には、ファイアウォールモードとキャッシュモード(もしくは2つが統合されたモード)を選択することができます。ISAは、通常のファイアウォール製品と同様に機能するうえ、ファイアウォールクライアント(Windows版のみ)をクライアントPCに導入することにより、ユーザーレベルの認証などの機能も利用できます。このほか非常に多くの機能を備えていますが、まずは前述のセオリーどおり、シンプルな設定から使い始めるのがよいでしょう。

●Symantec Enterprise Firewall(旧Axent Raptor Firewall)

 昔はAxent社のRaptor Firewallとして売られていましたが、米シマンテックがAxent社を買収したため、シマンテックから名前を変えて発売されたものです。機能的には、Axent時代とほとんど変わりはありません。主に、プロキシ型のファイアウォールとして動作します。インストールすると、OSの余計なサービスを自動的に無効にするなど、OSに対して要塞化を実施してくれるため、OSの知識が少ないユーザーでも簡単に導入できるようになっています。

●Cisco Secure PIX Firewall

 シスコの独自OSであるIOSで実装されたパケットフィルタリング型のファイアウォールです。シスコのルータやスイッチと同様のコマンドが使えるため、シスコ製品に慣れたユーザーにとっては扱いやすいでしょう。また組み込み型のファイアウォール製品なので、パケットを高速に処理できるなどの特徴があります。

●SonicWALL

 SonicWALL社の、小・中規模ネットワーク向き低価格ファイアウォール製品です。組み込み型のファイアウォール製品のうえ、パケットフィルタリングに絞ったシンプルな構成となっているので、低価格で優れたパフォーマンスを発揮します。

 以下に、各製品の特徴を簡単に比較した表を紹介します。

 
FireWall-1
ISA 2000
Enterprise
Firewall
PIX
Firewall
SonicWALL
対応OS
 
WinNT
/2000

2000のみ
Solaris

2.6/7

2.6/7
RedHat
Linux

6.1/6.2
AIX
HP-UX
専用OS

NOKIA

IOS
機能
 
パケット
フィルタ
プロキシ
コンテンツ
○=対応、△=オプション/サードベンダー製品で対応

●修正履歴

【2001/11/28】
 本文中の「FireWall-1以外のファイアウォール製品」の「●Internet Security and Acceleration(ISA)Server 2000」の項目すべてにおきまして、事実誤認があったため、修正いたしました。


       1|2 次のページへ

Copyright © ITmedia, Inc. All Rights Reserved.

RSSについて

アイティメディアIDについて

メールマガジン登録

@ITのメールマガジンは、 もちろん、すべて無料です。ぜひメールマガジンをご購読ください。