ファイアウォール - info.kochi-tech.ac.jp · ファイアウォール...
TRANSCRIPT
ファイアウォール
計算機ネットワーク
1
ファイアウォール
セキュリティ対策の1つ
外部からの侵入・不正パケット転送に対する防御
パケット種別に応じて転送可否
パケットを処理するインターフェース
パケットの方向
送信元・宛先アドレス
送信元・宛先ポート番号
2
アクセス制限
パケットの到達
アプリケーションの処理
3
サービス範囲 制限
情報の提供(情報公開)
資源の利用(情報処理)
阻止
つなぐ 切る
ファイアウォール
4
アプリケーション層 トランスポート層 ネットワーク層
通信をインターセプト
⇒ データ 到達しない
データリンク層 物理層
アプリケーション層 トランスポート層 ネットワーク層 データリンク層
物理層
クライアント
アプリケーション
サーバ
パケット
データ データ
OS
NIC
OS
NIC
ファイアウォール
カバー範囲の種別
ネットワーク間ファイアウォール
パーソナルファイアウォール
5
内部ネットワーク
ネットワーク間ファイアウォール
内部ネットワーク全体を保護
パーソナルファイアウォール
単一の端末を保護
ルータ・ブリッジ・NAT
ゲートウェイ(中継サーバ)
OS・OSのTCP/IP処理
のインターセプト
ネットワーク間
ファイアウォール
パケットフィルタリング
パケットヘッダ検査
IP・TCP・UDPヘッダー
処理→単純・高速
アプリケーションゲートウェイ
ネットワーク → 完全に切り離す
アプリケーション層で通信中継
中継の条件設定:パケット・データ内容
6
ゲートウェイ型
ファイアウォール
http プロキシ (ftp, https)
squid, delegate
smtp ゲートウェイ
MTAリレー
インターネット
トラフィック トラフィック
ゲートウェイ
トラフィックは全てゲートウェイが受信
ゲートウェイから再発信される
7
パケットフィルタ,AP GW
8
アプリケーション層 トランスポート層 ネットワーク層 データリンク層
中継サーバ
プログラム データ
物理層 パケット
Permit or Deny?
データ
パケット
トランスポート層 ネットワーク層 データリンク層
物理層 パケット
Permit or Deny?
パケット
パケット パケットフィルタ
アプリケーション
ゲートウェイ +ヘッダ情報
パケットフィルタ
条件付きのパケット転送
転送を行うレイヤ
L2: ブリッジ型 トランスペアレント
障害が分かりにくい
発見されにくい
L3: ルータ型
ルータとして存在
9
パケットフィルタの処理
1. 受信したパケットの内容を見る
2. ルールに基づき処理内容を決定
3. 処理を行う
通過パケット
インターネット fe0 fe1
拒否パケット 拒否パケット
通過パケット
10
ルール(条件部)
IPアドレス 送信元・宛先
ポート 送信元・宛先
プロトコル その他のIPヘッダ内容
その他のTCP/UDPヘッダ内容(フラグなど)
その他のパケット内容
MACアドレス 送信元・宛先
11
ルール(処理内容)
転送許可/拒否
Permit, Allow, Accept, Pass, …
Deny, Reject, Drop, …
その他
12
IPアドレスの設定
IPアドレス+ワイルドカードマスク
ワイルドカードマスク=チェックをしないビット
例 172.21.39.0/0.0.0.255
10101100.00010101.00100111.00000000
00000000.00000000.00000000.11111111
ネットマスクの bit を 0・1 逆にすると考えて良い
0.0.0.0 → host, 255.255.255.255 → any
13
IPアドレス+ネットマスク
IPアドレス+ワイルドカードマスク 範囲の設定
ルールの処理
上から順に照合
最初に適合したルールを処理
→ 処理後,終了
最後まで適合しない場合は拒否
暗黙のDeny
14
Cisco IOS の例
access-list 101 permit tcp 172.21.39.0 0.0.0.255 eq 6000
172.21.40.0 0.0.0.255 eq 80
15
[拡張ACL書式]
access-list リスト番号 アクション プロトコル
(続き) 送信元IPアドレス 送信元ワイルドカードマスク
[eq 送信元ポート番号]
(続き) 宛先IPアドレス 宛先ワイルドカードマスク
[eq 宛先ポート番号]
(続き) [established] [icmp type] [icmp code]
101~200 permit/deny ip/icmp/tcp/udp, etc.
ルータのパケットフィルタ
ACL設定
I/F適用
16
インターネット
ルータFW
fe0 fe1
access-list 101 deny tcp 0.0.0.0 255.255.255.255
172.21.39.0 0.0.0.255 eq 80
172.21.39.0/24
( access-list 101 deny tcp any 172.21.39.0 0.0.0.255 eq 80 )
access-list 101 allow ip any any
interface fastethernet1
ip access-group 101 in
ルータ以外のパケットフィルタ
ブリッジ型
Transparent (透過)型
直接,FWの存在が見えない
17
インターネット
ブリッジ
NAT
Network Address Translation
アドレス変換
PAT, NAPT, IP Masquarade
18
インターネット
NAT
IPアドレス・ポート番号を書き換え
宛先 IP:A, ポート a
送信元 IP: B ポート b 宛先 IP:A, ポート a
送信元 IP: C ポート c
宛先 IP:C, ポート c
送信元 IP: A ポート a
宛先 IP:B, ポート b
送信元 IP: A ポート a
インターネットからは単一の端末 C として見える
内部ネットワークは見えない
NAT テーブル:書き換えるものの表
A a B b ⇔ A a C C
(ブロードバンド)ルータ
NATの利用 (1/2)
IPアドレス資源の節約
外部との通信用IP → 1つ以上
内部 → プライベートアドレスで良い
内部ネットワークの保護
外部からのアクセス → NATテーブルにない → Deny
外部から内部が見えない
19
ポートフォワーディング
NAT内で公開サーバ
20
インターネット
トラフィック
DMZ
ポートフォワーディング
外部からの特定ポートへのアクセス
→ 転送先ホストを決めておく
NAT テーブル
宛先IP C ポート80 ⇔ 192.168.0.1 80
宛先 IP:C, ポート 80
送信元 IP: A ポート a 80
C
静的(Static) NAT
NATの利用 (2/2)
ルーティング:行わない
対応アプリケーション → 多種
アプリケーションからはシームレス
ルータへの負荷
ソースポート資源
NATテーブル変換の負荷
21
DMZ
内部ホスト,公開サーバ
⇒ 異なるセキュリティレベル
インターネット
トラフィック
トラフィック
22
DMZ
DMZ(その他)
23
インターネット
トラフィック
トラフィック
DMZ
インターネット
トラフィック
トラフィック
DMZ
ポートフォワーディング
外部からの特定ポートへのアクセス
→ 転送先ホストを決めておく
アクセス制限:まとめ
ファイアウォール
ネットワーク単位
部署単位
パーソナルFW
アプリケーションでのアクセス制限
24
多重保護