はじめに
目的
この章は本ドキュメントの導入です。Webサーバーを安全に運用するために、ファイアウォールがどのような役割を果たすかを分かりやすく示します。専門的な背景がなくても理解できるよう、具体例を交えて解説します。
対象読者
- Webサイトやサービスの運用担当者
- これからサーバーを構築する技術者や学習者
- 基本的なネットワーク用語(IPやポート)を知っている方
本書で学べること
本書は以下を順に説明します。
– ファイアウォールの基本的な働きと流れ(例:家の門や建物の受付に例える)
– 代表的な種類とそれぞれの特徴
– 通信の制御やNATなどの主な機能
– WAF(Webアプリケーションファイアウォール)との違い
– Webサーバーを守るための具体的な構成例(DMZなど)
各章で設定や運用の考え方も取り上げますので、実務で活用しやすい内容です。
読み進め方のポイント
まず第2章で基礎を押さしてください。用語は必要最小限に抑え、例で補足します。設計や導入の際は自社の要件(公開範囲や可用性、管理体制)を意識しながら読み進めると実践につなげやすいです。
ファイアウォールの基本定義と仕組み
1) 基本定義
ファイアウォールは、社内ネットワークとインターネットの間に置く「見張り役」です。通信を監視して、不正なアクセスを遮断し、内部の端末やサーバーを守ります。
2) 役割
外部からの侵入を防ぐだけでなく、内部からの不適切な通信を制限できます。企業では重要な情報の流出防止にも使います。
3) 設置場所と仕組み
一般にルーターと社内ネットワークの間に配置します。通過する通信を受け取り、パケットの送信元や宛先、ポート番号などをチェックします。
4) 動作の流れ(簡単に)
- 通信がファイアウォールに到達します。
- 送信元・宛先・ポートなどを解析します。
- 事前設定したルールと照合します。
- ルールに合えば許可、合わなければ遮断します。
- 必要に応じてログを記録し、管理者に通知します。
5) 具体例と分かりやすい例え
例えば、社内のWeb閲覧は許可(ポート80/443)、外部からの未承認の管理接続は遮断します。例えると、建物の入口に立つ警備員が来訪者の目的を確認して入室を許すか決めるような働きです。
ファイアウォールの種類と特徴
パケットフィルタリング型
パケットの送信元・宛先IPアドレスやポート番号だけを確認します。例えば「外部からの80番ポート(HTTP)を遮断する」といった単純なルールで動きます。処理が軽く速度に優れますが、内容までは見ないため細かい攻撃は見逃すことがあります。
ダイナミックパケットフィルタリング
通信の状態を記憶して、必要なときだけ応答用ポートを開きます。外部からの不正な接続を防ぎつつ、正当な応答は許可します。家庭用ルーターでよく採用されます。
サーキットレベルゲートウェイ
TCPやUDPのセッション自体を監視し、接続の成立や終了を基に制御します。接続の正当性を判断するため、単純なパケットフィルタより安全性が高いです。通信を中継せずに高速に動作する製品もあります。
アプリケーションゲートウェイ型(プロキシ型)/アプリケーションレベルゲートウェイ
HTTPやFTP、SMTPなどのプロトコルごとに内容を解析して代理処理します。例えば受信メールの添付ファイルを検査したり、Webのリクエスト中の不正な命令をブロックできます。細かい制御が可能でセキュリティが高い反面、処理負荷が大きくなります。
各方式は速度・見える範囲・導入コストで特徴が異なります。用途に合わせて使い分けると効果的です。
ファイアウォールの主な機能
1. NAT(ネットワークアドレス変換)
内部の私的なIPアドレスを外部に見せないように、送信元や宛先のアドレスを動的に書き換えます。家庭用ルーターで、LAN内の複数端末が1つのグローバルIPでインターネットに接続する例がわかりやすいです。特定の外部ポートを指定して社内サーバーに転送する「ポートフォワーディング」も可能です。
2. パケットフィルタリング
IPアドレスやポート番号を基に、通すか遮断するかを単純に決めます。例えば特定の不正なIPからの通信を遮断したり、外部からの不要なメール送信(SMTPポート)を止めたりします。設定がシンプルで高速です。
3. ステートフル検査
通信状態を追跡して、応答だけを許可します。外部からの不正な新規接続をブロックしつつ、内部から始まったやり取りは戻りのパケットを自動で通します。ウェブ閲覧など日常的な通信で誤検知が少ないです。
4. アプリケーション層の検査
通信の中身(例:HTTPの要求)を詳しく見て、不正な操作や攻撃パターンを遮断します。単にポートだけを見るのでは防げない攻撃に有効です。
5. ロギングとアラート
通信の記録を残し、異常な振る舞いがあれば管理者に通知します。原因調査や対応のために必須の機能です。
6. 管理機能と更新
ルールの管理、画面やAPIでの操作、署名やソフトウェアの更新で新しい脅威に備えます。定期的な見直しが重要です。
ファイアウォールとWAFの違い
概要
ファイアウォールはネットワークの入り口で通信の基本情報(IP、ポート、プロトコル)を基に許可・拒否します。一方WAF(Web Application Firewall)はWebアプリの中身(HTTPヘッダや本文、パラメータ)まで詳しく検査し、不正なリクエストを防ぎます。
検査対象の違い(具体例付き)
- ファイアウォール:送信元IPやポート番号で判断します。例えば、外部からのSSH(ポート22)をブロックして接続を止めます。
- WAF:ログインフォームの入力やURLのパラメータを解析します。たとえば、”‘ OR 1=1 –“のようなSQLインジェクションを検出して遮断します。
配置と動作
- ファイアウォールは境界で動き、ネットワーク全体を守ります。
- WAFはWebサーバー前面やアプリ内で動き、HTTP通信を詳細にチェックします。クラウド型やサーバーに組み込む方式があります。
対応する攻撃例
- ファイアウォール:ポートスキャンや不正なプロトコルの遮断、特定IPのブロック。
- WAF:クロスサイトスクリプティング(XSS)、SQLインジェクション、ファイルアップロードの不正検査。
運用面の違い
WAFはルールの調整や誤検知の対応が必要です。ファイアウォールは比較的単純なルール管理で済みますが、細かなアプリ脆弱性は見落とします。
選び方のポイント
重要なのは役割を分けて使うことです。ファイアウォールでネットワークを守り、WAFでWebアプリ特有の攻撃を防ぐと効果的です。
Webサーバーの保護構成
DMZ(非武装地帯)の役割
社内ネットワークとインターネットの間に公開用サーバーを置く領域をDMZと呼びます。外側と内側にそれぞれファイアウォールを設置し、DMZに不正アクセスがあっても社内側への侵入を防ぎやすくします。
典型的な構成例
1台目(外側)ファイアウォール — インターネット — DMZ(公開Webサーバー、リバースプロキシ、WAF) — 2台目(内側)ファイアウォール — 社内ネットワーク(業務端末、DBサーバー)
通信ルールの具体例
- 外部→DMZ: HTTP/HTTPSのみ許可(ポート80/443)。
- DMZ→内部: 原則禁止。ただしWebサーバーから特定DBへの接続は必要最小限のポートとIPに限定。
- 内部管理者→DMZ: 管理用のみ許可(例:SSH/RDPは管理ネットワークからのみ)。
追加の防護策
- リバースプロキシやWAFでアプリ層の攻撃を検査します。TLS終端をDMZ側で行うか、内部で行うかは設計により選びます。
- ログ収集と監視を外部のセキュリティ機器で一元化し、異常を早期検知します。
運用上の注意点
- サーバーとソフトは定期的にパッチ適用し、不要サービスは停止します。
- 管理権限は分離し、鍵やパスワードの管理を厳格にします。
- バックアップと復旧手順を定期的に検証します。
これらを組み合わせることで、利便性を保ちつつWebサーバーと社内ネットワークを効率よく保護できます。
