ファイアウォール入門:基本構造とパケットフィルタリングの仕組み

目次

ファイアウォール入門:基本構造とパケットフィルタリングの仕組み

どうも!リョクちゃです。

ネットワークの安全を守る代表的な装置が ファイアウォール(Firewall) です。
企業のLANや家庭のネットワークでも必ず導入されており、通信の通過可否を制御することで不正アクセスを防ぎます。


スポンサーリンク




ファイアウォールとは?

ファイアウォールは、内部ネットワークと外部ネットワークの境界に配置されるセキュリティ機器です。
主な役割は「 許可された通信のみ通過させる」ことです。

  • 不正なアクセスをブロック
  • 内部ネットワークの情報漏洩を防ぐ
  • 管理者が定義したルールに従って通信を制御

パケットフィルタリングの基本

ファイアウォールが通信を判断する際の基本は パケットフィルタリング です。

  • 条件の例
    1. 送信元IP / 宛先IP
    2. プロトコル(TCP / UDP / ICMP)
    3. ポート番号(80, 443など)
    4. インターフェースの方向(Inbound / Outbound)

ステートレス vs ステートフル

  • ステートレス(Stateless Firewall)
    受信したパケット単体だけを見て判断。軽量だが脆弱。
  • ステートフル(Stateful Firewall) 通信の状態を記憶して判断。現在はほとんどのFWがステートフル


ACL(Access Control List)の概念

多くのファイアウォールやルータではACL(アクセス制御リスト) を使って通信を制御します。

例:Cisco IOSの場合


実務での考え方

  • デフォルト拒否、必要な通信だけ許可 「必要な通信だけ通す」が基本。全許可は危険。
  • ログを必ず確認 拒否ログを記録しておくことで、トラブル時の原因特定が容易になる。

  • ゾーンやインターフェース単位で管理 内部・DMZ・外部などゾーンを分けてルールを整理すると保守性が上がる。


トラブル例と切り分け

症状 想定される原因 確認コマンド
外部サイトにアクセスできない FWのOutboundルールでブロック show access-lists (Cisco)、 iptables -L(Linux)
サーバにpingが通らない ICMPを許可していない FW設定でICMPを確認
Webサーバ公開できない NATやポート転送未設定 show running-config / FWログ

まとめ

  • ファイアウォールはネットワークの安全を守る基本装置
  • ステートフル型が一般的で、ACLを使って通信可否を定義
  • デフォルト拒否 + 必要な通信のみ許可が安全な設計の基本

👉 次回は「VPN基礎:拠点間接続とリモートアクセス」で、安全な通信経路を確保する仕組みを学びます。

スポンサーリンク