48.8. ファイアウォール
情報セキュリティーは通常、製品ではなくプロセスと考えられています。ただし、標準のセキュリティー実装は通常、アクセス権限を制御し、ネットワークリソースを認証、識別でき、追跡可能なユーザーに制限する専用のメカニズムを使用します。Red Hat Enterprise Linux には、ネットワークレベルのアクセス制御の問題に関する管理者およびセキュリティーエンジニアを支援するツールがいくつか含まれています。
ファイアウォールは、ネットワークセキュリティー実装のコアコンポーネントの 1 つです。いくつかのベンダー市場のファイアウォールソリューションは、市場のすべてのレベルに対応します。ホームユーザーは、重要なエンタープライズ情報を保護するため、1 つのPCをデータセンターソリューションから保護します。ファイアウォールは、Cisco、Nokia、Sonnicwall によるファイアウォールアプライアンスなどのスタンドアロンハードウェアソリューションです。また、Checkpoint、McAfee、Symantec などのベンダーは、ホームおよびビジネス市場向けのプロプライエタリソフトウェアファイアウォールソリューションも開発しました。
ハードウェアファイアウォールとソフトウェアのファイアウォールの違いに加え、ファイアウォールが別のソリューションから分離する方法にも違いがあります。表48.5「ファイアウォールのタイプ」 では、3 つの一般的なファイアウォールタイプとその機能について説明します。
| メソッド | 説明 | メリット | デメリット | ||||||
|---|---|---|---|---|---|---|---|---|---|
| NAT | NAT ( Network Address Translation )は、プライベート IP サブネットワークを 1 つまたはパブリック IP アドレスの小規模なプールの背後に配置し、複数のソースへのすべての要求をマスカレードします。Linux カーネルには、JBDS カーネルサブシステムを介して NAT 機能が組み込まれています。 |
|
| ||||||
| パケットフィルター | パケットフィルターリングファイアウォールは、LAN を通過する各データパケットを読み取ります。ヘッダー情報でパケットを読み取り、処理し、ファイアウォール管理者が実装するプログラム可能なルールセットに基づいてパケットをフィルターリングします。Linux カーネルには、JBS カーネルサブシステムを介してパケットフィルターリング機能が組み込まれています。 |
|
| ||||||
| Proxy | プロキシーファイアウォールは、LAN クライアントからプロキシーマシンへの特定のプロトコルまたはタイプのすべての要求をフィルターリングします。これにより、ローカルクライアントの代わりにインターネットに対してこれらの要求が行われます。プロキシーマシンは、悪意のあるリモートユーザーと内部ネットワーククライアントマシン間のバッファーとして機能します。 |
|
|
48.8.1. ubuntu および IPTables
Linux カーネルは、HynetQ と呼ばれる強力なネットワークサブシステムを特長として い ます。ubuntu サブシステムは、ステートフルまたはステートレスパケットフィルターリングと NAT および IP マスカレードサービスを提供します。また、高度なルーティングおよび接続状態管理 の ために IP ヘッダー情報をマレッディングする機能もあります。ubuntu は、iptables ツールを使用して制御します。
48.8.1.1. iptables の概要
電源と柔軟性は、iptables 管理ツールである ipchains sor の構文と同様のコマンドラインツールである iptables 管理ツールを使用して実装されます。
ただし、同様の構文は同様の実装を意味するわけではありません。ipchains では、ソースパスのフィルター、宛先パスのフィルターリング、送信元接続ポートと宛先接続ポートの両方のフィルターなど、特別なルールセットが必要です。
一方、iptables は、iptables を使用してネットワーク接続、検査、および処理を強化します。iptables は、高度なロギング、ルーティング前およびポストルーティングアクション、ネットワークアドレス変換、ポート転送をすべて 1 つのコマンドラインインターフェイスで提供します。
このセクションでは、iptables の概要について説明します。詳細は、「iptables」 を参照してください。
