ファイアウォールには、代表的な機能にパケットフィルタリングと呼ばれる機能があります。これは、通信の条件を事前に設定しておく事により、許可のないアクセスを効率的に判断する機能であり、大きく分けると2つの手法が存在します。まずはスタティックパケットフィルタリングが挙げられ、データのパケット情報を検証してアクセスの可否を決定する手法です。検証する情報は、送信元と宛先アドレスや、外部との通信の際にプログラムを識別するポート番号などであり、それを基に通信を監視する仕組みです。
事前に可否のパケットを設定する必要があり、通信不可に該当するパケットであれば、廃棄や拒否または発信元へのエラー応答の送信、もしくはドロップと呼ばれる暗黙の破棄が実行されます。しかし、データの中身を細かく精査するわけではないため、偽装されたパケットは検出できず、アプリケーションの脆弱性や機能を狙った攻撃を防ぐ事ができません。また、単純な仕組みなので高速処理が可能ですが、設定に時間がかかるという短所があります。次はダイナミックパケットフィルタリングで、必要に応じて自動的に通信のルールを作成して利用するポートを割り当てる手法です。
この手法では、外部と内部での双方向通信を行うために双方向の通信を明確に許可する必要があるスタティック方式とは異なり、一方の通信が許可されていれば、その通信への応答に限りアクセスを許可します。これは、ソフトウエアやサービスで固定したポートを利用しつづけると、不正アクセスの原因となるため、適した時にポートを開閉する事で、攻撃や脅威を制御する仕組みです。2つの手法にはそれぞれの特徴があり、組み合わせる事でより強固なセキュリティを実現するファイアウォールとなります。ファイアウォールは基本的なセキュリティ対策ですので、その機能を理解する事は、脅威への対策の一助となる事でしょう。
コメントする