ファイアウォール（Firewall）とは : ネットワークスペシャリスト

ネットワークスペシャリスト - SE娘の剣 -

ネットワークスペシャリストの試験対策サイト（by 左門至峰の株式会社エスエスコンサルティング）です。ネットワークスペシャリスト試験の
勉強方法、合格体験談、合格のコツ、過去問解説、基礎知識などの情報を掲載します。試験対策セミナー・研修も行っております。
ネットワークスペシャリスト試験対策・勉強なら左門至峰の最も詳しい過去問解説「ネスペ」シリーズ（技術評論社）で！！

「企業内ネットワークとインターネットの接続点で，パケットフィルタリング機能などを用いて外部からの不正アクセスを防止するもの（H17AD午前-問52）」は何か。

これは簡単ですね。企業内でサーバのセキュリティを高めるために利用されることもあります。正解は「ファイアウォール（Firewall）」です。ネットワークスペシャリスト試験では、Firewallは絶対に理解してもらいたい内容です。

firewallの由来
もう少し解説します。fireは「炎」を、wallは「壁」を意味します。firewallは、もともと火事などのときに、炎を防ぐ「防火壁」という意味です。
ネットワークにおけるfirewall（ファイアウォール）は、外部からの炎（攻撃、侵入）を防ぐものになります。

firewallの機能
基本的な機能は、フィルタリングの機能です。たとえば、特定のIPアドレスからの通信を許可（or拒否）したり、特定のポート（たとえば、HTTPやSMTPなど）の通信を許可（or拒否）します。
また、ネットワークを①インターネット、②DMZ、③内部セグメントの3つに分ける機能も持ちます。加えて、ルーティング機能も持つことがほとんどです。

ポリシー
外から内なのか、内から外なのかという方向によって、FWポリシー（ルール）が変わります。
例えば、江戸時代では東海道などに関所が設けられました。
ここでは、「入り鉄砲、出女」が禁止されました。具体的には、江戸方向への鉄砲を禁止し、江戸から出る女性を厳しくチェックしたと聞いてます。
つまり、方向によってルールが異なります。

外部からの攻撃（鉄砲）を防ぎ、内部の重要資産(女性)の流出を防ぐのは、まさにファイアーウォールですね。

firewallの方式
・パケットフィルタリングとサーキットゲートウェイ方式、アプリケーションゲートウェイ方式の３つがある。
・パケットフィルタリング方式では、パケットのヘッダ部分（IPアドレスやポート番号など）を見て通信の許可と拒否を判断する。

そもそもファイアウォールは必要なのか？
c2f058cb

なくてもいいと思います。
ファイアウォールは関所に例えられることが多い。関所に限らず家の玄関も外と内の分解点という意味ではファイアウォールと役割は似ている。
ファイアウォールはなぜ必要か。結論からいうとセキュリティの一元管理である。
各サーバやパソコンが個々にパーソナルファイアウォールやアクセス権の設定等により、セキュリティの脅威を防ぐことはできる。DMZに公開されているサーバが良い例である。しかし、個別に対策をするのは大変だし、セキュリティ対策忘れなど漏れもある。だからファイアウォールで一元的にアクセス制御をし、集中ログ管理をし、最近ではUTMに代表されるようなウイルスチェックやSPAMチェックなども行うのである。だから、インターネット回線が遅いからといって、複数のプロバイダと契約して複数の出口を持つ企業はかなり少ない。関所もなるべく山奥の人がそこしか通れないところに配置しているのは、それが理由である。
ファイアウォールがなかったらセキュリティは守れないか？そんなことはない。ファイアウォールがなくても企業のセキュリティは守れる。しかし、個々に対策するのはとても大変である。人間がすることなので、大変になるとミスが出る。そういう意味でファイアウォールがあることにより、セキュリティの運用管理が楽になり、結果的に企業のセキュリティレベルが上がる。

【午前問題】ファイアウォールにてpingを止めるには？

DMZ上のコンピュータがインターネットからのpingに応答しないようにファイアーウォールのセキュリティルールを定めるとき、“通過禁止”に設定するものはどれか。（H22SC春午前Ⅱ問11）※プロトコルを答える

ファイアウォールの設定について問われている。
ポイントはpingに応答しないというところ。pingのプロトコルは何かを答えれば、それが正解である。
↓
↓
↓
正解はICMP。

スポンサードリンク

コメント一覧 (3)

- 1. ばしくし
- 2013年10月13日 15:02
- コレ、企業とは限らなくないですか？
  
  個人でネットサービス公開するときだって
  外部ルーターにフィルタ設定しますしねえ。
  
  正しくは、LANとインターネットの接続制御ですよね。
  
  問題作成者も、言葉は正しく使っていただきたいものです。
- 2. こーちゃん
- 2016年09月21日 11:37
- 管理者様、ネスペ道26を購入させていただき、読み始めましたが、いきなり疑問に直面しました。冒頭で紹介されている応用情報処理試験(H26秋期午後[問5])の設問3(Firewallのオリジナル問題)についてです。
  問題文の情報が少ないため、あくまで回答例は一例にすぎないことは理解しているのですが、回答例の内容だと送信パケットしか許可されていない(受信パケットが許可されていない)ため、このままだと通信できないのではないかと感じました。
  ※例えばプロキシサーバからインターネットに出ていくHTTPのパケットは許可されていますが、インターネットからのHTTPのパケット(レスポンス)は許可されていません。
  
  実際の機器設定では送受信の両方のFirewallルールを記述することが必要であろう、と理解しているのですが、認識が間違っていた場合はお教えいただきたく、よろしくお願いします。
- 3. 管理者
- 2016年09月22日 10:56
- FWの実際の設定では、両方のルールを書きません。片方だけです。FWでは、行きのパケットの状態を覚えていて、その戻りパケットは許可します。
  
  ただ、CiscoなどのコマンドラインでのACLでは少し考え方が違うので注意が必要です。（この点は参考レベルなので、深追いしないでください）
  
  >※例えばプロキシサーバから
  >インターネットに出ていくHTTPのパケットは
  >許可されていますが、インターネットからの
  >HTTPのパケット(レスポンス)は許可されていません。
  
  インターネットから内部への通信を許可してしまえば、攻撃されてしまいますよ。