「誰から？」「目的は？」に着目！パケットフィルタリング型ファイアウォール

はい、こんにちは！あなたの大切なデータを外部の攻撃から守る「ファイアウォール」について、シリーズ記事でお届けします。

前回は、ファイアウォールに関するどんな項目について、どの順番で解説していくか、全体の構成について示しました。「予定は未定」ではありますが、その順番でできるだけ進めます。

さて、1回目の今回は、ファイアウォールの基本でございます。あまり詳細に立ち入らず、これからのお話しのための地ならしをしましょう！

では、いってみよう！

ファイアウォールとは？

ファイアウォールは、外部と内部の境界に設置され、外部からの不正なアクセスを防ぎ、許可された通信のみをネットワークに通過させる機器です。

通信をフィルタリングすることが、ファイアウォールの中核的な役割です。これにより、外部の攻撃者から内部ネットワークを保護することができます。

「機器」とは書いたものの、実際には独立した機器がコロッと1台存在しているというよりは、あるネットワーク機器（ルータとか）にある「機能」「ソフトウェア」として存在することが多くあります。

頭の片隅に置いておきましょう。

何を基準にして通信を制御するのか？

ファイアウォールの役割が分かりました。では、ファイアウォールは、どう分類できるでしょうか？

いくつか種類がありますが、その代表的なものが「パケットフィルタリング型ファイアウォール」です。名前のとおり、パケットをフィルタリングするのですが、そのフィルタリングの基準は何でしょうね。

簡単に言えば、パケットのヘッダ情報です。ヘッダ情報には、送信元・送信先IPアドレスや、ポート番号など、通信の可否を判定するのに役立つ重要な情報が含まれています。ですから、これを基準にするわけです。

実は２つあるフィルタリング

この「パケットフィルタリング型ファイアウォール」が行うフィルタリングは、レイヤ3フィルタリングと、レイヤ４フィルタリングに分類できます。それぞれ確認してみましょう。

レイヤ３フィルタリング

「レイヤ３」ということですので、「ネットワーク層」の情報をもとにフィルタリングします。その情報とは、すなわち「IPアドレス」です。

IPヘッダの送信元と宛先のIPアドレスを見て判断する分かりやすい方法です。「誰（どのノード）から誰に送られてきたんだ？」という点に着目してフィルタリングします。

原則として「すべての通信を拒否する。ただし、～のときは許可する」のように、すべて拒否としておいて、例外を定める運用をします。

IPアドレスを見て判定する性質上、IPアドレスが「なりすまし」されていたり、ペイロードに不正なデータが含まれていたりしても、うまく対処できません。

レイヤ４フィルタリング

さて、もう一つは、レイヤ４（トランスポート層）の情報、すなわち、ポート番号を見て判定するフィルタリングです。

 特定のポートを使用するアプリケーションへのアクセスを制限することができます。こちらは、「誰から誰に」でなく「どんな目的で？」に着目したフィルタリングですね。

フィルタリングルールは、レイヤ３と同様、原則として「すべて拒否する。ただし、～の場合は、許可する」のように、全部ポートを閉じてから、通信が必要な一部のポートを解放（「穴をあける」）するようにします。

はい、本日はここまで。今回は、パケットフィルタリング型ファイアウォールの概要について紹介しました。

が、どのようなルールを作ってフィルタリングするのかについて、詳細には触れませんでした。

次回は、フィルタリングポリシー（ルール）の解説をすることにしましょう。

では！