next up previous contents
Next: 6.1 プロトコル Up: ルーティング とネットワーク管理論 Previous: 5.6 演習課題

6. フィルタリング

ファイアーウォール(防火壁)は、不正な侵入を水際で防御するという役割を持ってい ます。一般にファイアーウォールはルータの役割も持っていますが(単なるマルチ ホームなマシン)、ルーティングをしない場合もあり、後者の特別な場合として ファイアーウォールがブリッジであるようなときもあります。基本的に、 ファイアーウォールの種類には、パケットフィルタリングのタイプと アプリケーションゲートウェイ(プロクシ−)のタイプの2種類があります。 パケットフィルタリングはネットワーク層でのファイアーウォールの実現方法で あり、パケットの送受信IP,ポート番号,プロトコル(TCP,UDP,ICMP)などを元に して通すか否かを決定します。これに対して、アプリケーションゲートウェイは アプリケーション層でのファイアーウォールの実現方法です。アプリケーション 層ですので、個々のアプリケーションのプロトコルに依存しますが、プロトコル 内部の解釈を行い、許可不許可、書き換え、転送などを行います。従って、 よりきめの細かい制御とロギングが行えるという利点がありますが、同時に 個別対応になるので対応していないプロトコルはファイアーウォールを通過出来ない という問題があります。

このように一口にファイアーウォールと言っても、それぞれの適不適があるので サイトの管理方針、運営方針に応じて選択しなければなりません。基本的な方針 としては、最低でもパケットフィルタリングは必ず行い、必要に応じてアプリケーションゲートウェイを設ける。ネットワーク的には、外部に公開するサーバなどと、 内部用のネットワークは分離することなどが望まれます。更に、ルータなどにも アクセスコントロールを施し、重要な部門には専用のファイアーウォールをもう 一段入れるようにすれば良いでしょう。

この章では、パケットフィルタリングによるファイアーウォール構築の基本について 説明を行うことにします。フィルタリングツールは、IPFILTER, IPFW(FreeBSD), screend, IPCHAIN(Linux)などが有名ですが、この中では IPFILTER が最も多くの OS に対応しています(Solarisにも対応)ので、ここではIPFILTERを使う事にします が、基本的な理解が出来たならば他のフィルタリングツールでも原理は同じなの で対応は容易でしょう。

特に、FreeBSD では、IPFW(IPFirewall)を使うか、IPFilter を使うかは迷う 所です。いずれも標準で準備されているので、好みと言って差し支えありませんが、 あえて違いを上げるとするならば、IPFW はルールがルータなどで使われている ものと似ているので親しみやすい、IPFW と共に用いる事が出来る帯域制御 などがある、ブリッジでも使える等の点が上げられます。 一方、IPFilter は 、ルールの構文は複雑なものが書け、機能も IPFWよりも高い、多くのOSで利用出来る、などの特徴があります。





Noriyo Kanayama