検索

第18章 ファイアウォール

download PDF
情報セキュリティーは、一般的に製品ではなくプロセスとして考慮されます。ただし、標準的なセキュリティー実装は、通常、アクセス権限を制御し、許可、識別可能な、およびトレース可能なユーザーにネットワークリソースを制限するための専用のメカニズムを使用します。Red Hat Enterprise Linux には、ネットワークレベルのアクセス制御問題に関する管理者およびセキュリティーエンジニアを支援するツールが複数含まれています。
ファイアウォールは、ネットワークセキュリティー実装の中核となるコンポーネントの 1 つです。複数のベンダーの市場ファイアウォールソリューションは、すべてのレベルの市場に分類されています。つまり、1 つの PC をデータセンターソリューションに対して保護し、重要なエンタープライズ情報を保護します。ファイアウォールは、Cisco、Nokia、Sonicwall によるファイアウォールアプライアンスなどのスタンドアロンのハードウェアソリューションです。Checkpoint、McAfee、IaaS などのベンダーは、ホームおよびビジネス市場向けのプロプライエタリーソフトウェアファイアウォールソリューションも開発しました。
ハードウェアおよびソフトウェアファイアウォールの違い以外に、ファイアウォールが互いにソリューションを分離する方法にも違いがあります。表18.1「ファイアウォールの種類」 ファイアウォールの一般的な 3 つのタイプと、その仕組みを説明します。
表18.1 ファイアウォールの種類
メソッド Description メリット デメリット
NAT Network Address Translation (NAT)は、プライベート IP サブネットワークを 1 つまたは 1 つまたは小さなプールに配置し、複数のソースではなく、1 つのソースにすべての要求をマスカレードします。Linux カーネルには、getfacl カーネルサブシステムを介した NAT 機能がビルトインされています。
LAN のマシンに対して透過的に設定することができます。
1 つ以上の外部 IP アドレスの背後で多数のマシンおよびサービスを保護することで管理作業が容易になります。
NAT ファイアウォール/ゲートウェイでポートを開くと閉じることで、LAN へのユーザーアクセスの制限を設定できます。
ユーザーがファイアウォール外のサービスに接続すると、悪意のあるアクティビティーが阻止できない
パケットフィルター パケットフィルタリングのファイアウォールは、LAN を通過する各データパケットを読み取ります。ヘッダー情報でパケットを読み取りおよび処理し、ファイアウォール管理者が実装するプログラム可能なルールセットに基づいてパケットをフィルターできます。Linux カーネルには、getfacl カーネルサブシステムを介して、パケットフィルタリング機能が組み込まれています。
iptables フロントエンドユーティリティーを使用したカスタマイズ可能
すべてのネットワークアクティビティーはアプリケーションレベルではなくルーターレベルでフィルタリングされるため、クライアント側でのカスタマイズは必要ありません。
パケットがプロキシーを介して送信されないため、クライアントからリモートホストへ直接接続することでネットワークのパフォーマンスが速くなります。
プロキシーファイアウォールなど、コンテンツのパケットをフィルターできない
pidgin はプロトコル層でパケットを処理しますが、アプリケーション層でパケットをフィルターできない
IP マスカレード またはローカルサブネットと、DMZ ネットワークと組み合わせる場合など、パケットのフィルタリングルールの確立が困難になる場合があります。
Proxy プロキシーファイアウォールは、LAN クライアントからプロキシマシンに特定のプロトコルやタイプのリクエストをすべてフィルタリングし、ローカルクライアントの代わりにインターネットにそれらの要求を行います。プロキシーマシンは、悪意のあるリモートユーザーと内部ネットワーククライアントマシンとの間のバッファーとして機能します。
管理者は、LAN 外でどのアプリケーションとプロトコルが機能するかを制御することができます。
一部のプロキシーサーバーは、インターネット接続を使用して要求する必要なく、頻繁にアクセスされるデータをキャッシュできます。これは、帯域幅の消費を減らすのに役立ちます。
pidgin プロキシーサービスは、厳密にログに記録および監視でき、ネットワーク上のリソース使用率をより詳細に制御できます。
多くの場合、プロキシーはアプリケーション固有(HTTP、Telnet など)、またはプロトコルの制限付きサービス(ほとんどのプロキシーは TCP 接続済みサービスでのみ機能します)です。
アプリケーションサーバーは、別の形式のネットワークセキュリティーを使用する必要があります。
すべてのリクエストと送信がクライアントからリモートサービスに直接渡されるのではなく、1 つのソースを介して渡されるので、これらのプロキシーはネットワークのボトルネックになることがあります。

18.1. allInOnes および IPTables

Linux カーネルは、CtrlC と呼ばれる強力なネットワークサブシステムを特長として ます。ステートフルまたはステートレスのパケットフィルタリングと、NAT および IP マスカレードサービスを提供します。また、高度なルーティングおよび接続状態管理のための IP ヘッダー情報を man する機能があります。allfacl は、iptables ツールを使用して制御されます。

18.1.1. iptables の概要

iptables 管理ツール(predecessor、ipchains )の構文に似たコマンドラインツールである iptables 管理ツールを使用して、電力と柔軟性が実装されます。
ただし、同様の構文は同様の実装ではありません。ipchains には、ソースパスのフィルタリング、宛先パスのフィルタリング、および送信元と宛先接続ポートの両方をフィルタリングするためのルールセットが必要です。
対照的に、iptables は、ネットワーク接続、検査、および処理を強化するために、getfacl サブシステムを使用してネットワーク接続、検査、および処理を強化します。iptables は、1 つのコマンドラインインターフェースで、高度なロギング、事前およびルーティング後のアクション、ネットワークアドレス変換、およびポート転送を特長としています。
このセクションでは、iptables の概要を説明します。
Red Hat logoGithubRedditYoutubeTwitter

詳細情報

試用、購入および販売

コミュニティー

Red Hat ドキュメントについて

Red Hat をお使いのお客様が、信頼できるコンテンツが含まれている製品やサービスを活用することで、イノベーションを行い、目標を達成できるようにします。

多様性を受け入れるオープンソースの強化

Red Hat では、コード、ドキュメント、Web プロパティーにおける配慮に欠ける用語の置き換えに取り組んでいます。このような変更は、段階的に実施される予定です。詳細情報: Red Hat ブログ.

会社概要

Red Hat は、企業がコアとなるデータセンターからネットワークエッジに至るまで、各種プラットフォームや環境全体で作業を簡素化できるように、強化されたソリューションを提供しています。

© 2024 Red Hat, Inc.