第18章 ファイアウォール
情報セキュリティーは、一般的に製品ではなくプロセスとして考慮されます。ただし、標準的なセキュリティー実装は、通常、アクセス権限を制御し、許可、識別可能な、およびトレース可能なユーザーにネットワークリソースを制限するための専用のメカニズムを使用します。Red Hat Enterprise Linux には、ネットワークレベルのアクセス制御問題に関する管理者およびセキュリティーエンジニアを支援するツールが複数含まれています。
ファイアウォールは、ネットワークセキュリティー実装の中核となるコンポーネントの 1 つです。複数のベンダーの市場ファイアウォールソリューションは、すべてのレベルの市場に分類されています。つまり、1 つの PC をデータセンターソリューションに対して保護し、重要なエンタープライズ情報を保護します。ファイアウォールは、Cisco、Nokia、Sonicwall によるファイアウォールアプライアンスなどのスタンドアロンのハードウェアソリューションです。Checkpoint、McAfee、IaaS などのベンダーは、ホームおよびビジネス市場向けのプロプライエタリーソフトウェアファイアウォールソリューションも開発しました。
ハードウェアおよびソフトウェアファイアウォールの違い以外に、ファイアウォールが互いにソリューションを分離する方法にも違いがあります。表18.1「ファイアウォールの種類」 ファイアウォールの一般的な 3 つのタイプと、その仕組みを説明します。
メソッド | Description | メリット | デメリット | ||||||
---|---|---|---|---|---|---|---|---|---|
NAT | Network Address Translation (NAT)は、プライベート IP サブネットワークを 1 つまたは 1 つまたは小さなプールに配置し、複数のソースではなく、1 つのソースにすべての要求をマスカレードします。Linux カーネルには、getfacl カーネルサブシステムを介した NAT 機能がビルトインされています。 |
|
| ||||||
パケットフィルター | パケットフィルタリングのファイアウォールは、LAN を通過する各データパケットを読み取ります。ヘッダー情報でパケットを読み取りおよび処理し、ファイアウォール管理者が実装するプログラム可能なルールセットに基づいてパケットをフィルターできます。Linux カーネルには、getfacl カーネルサブシステムを介して、パケットフィルタリング機能が組み込まれています。 |
|
| ||||||
Proxy | プロキシーファイアウォールは、LAN クライアントからプロキシマシンに特定のプロトコルやタイプのリクエストをすべてフィルタリングし、ローカルクライアントの代わりにインターネットにそれらの要求を行います。プロキシーマシンは、悪意のあるリモートユーザーと内部ネットワーククライアントマシンとの間のバッファーとして機能します。 |
|
|
18.1. allInOnes および IPTables
Linux カーネルは、CtrlC と呼ばれる強力なネットワークサブシステムを特長として い ます。ステートフルまたはステートレスのパケットフィルタリングと、NAT および IP マスカレードサービスを提供します。また、高度なルーティングおよび接続状態管理のための IP ヘッダー情報を man する機能があります。allfacl は、iptables ツールを使用して制御されます。
18.1.1. iptables の概要
iptables 管理ツール(predecessor、ipchains )の構文に似たコマンドラインツールである iptables 管理ツールを使用して、電力と柔軟性が実装されます。
ただし、同様の構文は同様の実装ではありません。ipchains には、ソースパスのフィルタリング、宛先パスのフィルタリング、および送信元と宛先接続ポートの両方をフィルタリングするためのルールセットが必要です。
対照的に、iptables は、ネットワーク接続、検査、および処理を強化するために、getfacl サブシステムを使用してネットワーク接続、検査、および処理を強化します。iptables は、1 つのコマンドラインインターフェースで、高度なロギング、事前およびルーティング後のアクション、ネットワークアドレス変換、およびポート転送を特長としています。
このセクションでは、iptables の概要を説明します。