目次
ファイアウォール入門:基本構造とパケットフィルタリングの仕組み
どうも!リョクちゃです。
ネットワークの安全を守る代表的な装置が
ファイアウォール(Firewall) です。
企業のLANや家庭のネットワークでも必ず導入されており、通信の通過可否を制御することで不正アクセスを防ぎます。
スポンサーリンク
ファイアウォールとは?
ファイアウォールは、内部ネットワークと外部ネットワークの境界に配置されるセキュリティ機器です。
主な役割は「
許可された通信のみ通過させる」ことです。
- 不正なアクセスをブロック
- 内部ネットワークの情報漏洩を防ぐ
- 管理者が定義したルールに従って通信を制御
パケットフィルタリングの基本
ファイアウォールが通信を判断する際の基本は パケットフィルタリング です。
- 条件の例
- 送信元IP / 宛先IP
- プロトコル(TCP / UDP / ICMP)
- ポート番号(80, 443など)
- インターフェースの方向(Inbound / Outbound)
ステートレス vs ステートフル
- ステートレス(Stateless Firewall)
受信したパケット単体だけを見て判断。軽量だが脆弱。 ステートフル(Stateful Firewall) 通信の状態を記憶して判断。現在はほとんどのFWがステートフル
ACL(Access Control List)の概念
多くのファイアウォールやルータではACL(アクセス制御リスト) を使って通信を制御します。
例:Cisco IOSの場合
|
1 2 3 4 5 6 7 |
<br /># HTTP(80)とHTTPS(443)を許可 access-list 100 permit tcp any any eq 80 access-list 100 permit tcp any any eq 443 # その他の通信を拒否 access-list 100 deny ip any any |
実務での考え方
- デフォルト拒否、必要な通信だけ許可 「必要な通信だけ通す」が基本。全許可は危険。
ログを必ず確認 拒否ログを記録しておくことで、トラブル時の原因特定が容易になる。
ゾーンやインターフェース単位で管理 内部・DMZ・外部などゾーンを分けてルールを整理すると保守性が上がる。
トラブル例と切り分け
| 症状 | 想定される原因 | 確認コマンド |
|---|---|---|
| 外部サイトにアクセスできない | FWのOutboundルールでブロック | show access-lists (Cisco)、 iptables -L(Linux) |
| サーバにpingが通らない | ICMPを許可していない | FW設定でICMPを確認 |
| Webサーバ公開できない | NATやポート転送未設定 | show running-config / FWログ |
まとめ
- ファイアウォールはネットワークの安全を守る基本装置
- ステートフル型が一般的で、ACLを使って通信可否を定義
- デフォルト拒否 + 必要な通信のみ許可が安全な設計の基本
👉 次回は「VPN基礎:拠点間接続とリモートアクセス」で、安全な通信経路を確保する仕組みを学びます。
