注目のセキュリティ資格
シスコの新しいセキュリティ資格、CCSPとは何か？

第3回　ファイアウォールセキュリティを理解する

澤井亜紀子（グローバル ナレッジ ネットワーク）
2004/1/9

■ファイアウォールとは

　今回取り上げるのは、CCSPに必要な5つの試験のうち、ファイアウォール（CSPFA）について、その概要を解説する。

　最近のインターネットワーキングでは、自分たちのネットワークを安全に保護しつつ、ほかのネットワークと透過的に通信できる環境がもはや当たり前だ。この仕組みを支えるセキュアデバイスの代表的なものがファイアウォールであることはいうまでもない。基本的なファイアウォールは、企業ネットワークのような内部ネットワークと、それ以外の外部ネットワークとの境界に配置し、2つのネットワークを隔離する（図1）。

図1　ファイアウォール付きネットワークの概念図

　それに加え、現在では一般にDMZ（DeMilitarized Zone）と呼ばれる外部カスタマが、直接アクセスの必要な内部リソースを配置するネットワークを構成し、合計3つの領域をファイアウォールで制御しているケースが一般的だ。DMZ上に配置されるリソースの代表的なものに、FTPサーバ、WebサーバやDNS（外部DNSとも呼ばれる）がある。これらの領域を通過するトラフィックは、特に、「どのネットワークから開始されたものであるか」がファイアウォールで精査され、次のようにトラフィック許可／拒否の判断がされる。

（1）外部から開始された内部／DMZへのアクセスを一部またはすべて許可／拒否
（2）内部から開始されたDMZ／外部へのアクセスを一部またはすべて許可
（3）DMZから開始された内部へのアクセスを一部またはすべて許可／拒否

　許可および拒否する判断は、開始されたネットワークの位置だけでなく、アドレスやポート番号、それにTCPのステートなどさまざまなものが利用される。UDPの場合にはクエリーに対する応答のタイムアウトを利用することもある。

　ファイアウォールはパケットの状態を常にチェックしているため、アクセスリストを利用したパケットフィルタリングよりダイナミックにアクセスを制御することが可能だ。

　また、ファイアウォールには次の付加機能を持っているものもある。

• アドレス変換（NAT：Network Address Translation）
• IPSecなどを利用したVPNゲートウェイ機能
• URLをベースとしたコンテンツフィルタリング機能
• レイヤ4から7までのペイロードや、音声や画像といったより複雑な動きをするプロトコル群のセッションを監査する機能
• サービス妨害攻撃の防止機能
• AAAサーバと連動する認証プロキシ機能

　これらの機能を組み合わせることによって、ファイアウォールは企業ネットワークとインターネットの間などのゲートウェイデバイスとしてアプリケーションレベルまでの細かい制御が可能だ。

■Cisco Secure PIX Firewallで実現するセキュリティテクノロジ

　ファイアウォールには、ソフトウェアで実現されるものと、ハードウェア一体型の専用機の2種類がある。ソフトウェアベースの場合、UNIXやWindowsなどのOSの上にインストールして利用するが、ソフトウェアベースのファイアウォールでは注意が必要だ。なぜなら、ファイアウォール機能が正常に動いているにもかかわらず、OSの脆弱性を突かれた攻撃をされると内部ネットワークを安全に保護することができなくなってしまうからだ。シスコシステムズが提供するPIX Firewallは専用ハードウェアで提供されるため、ファイアウォール自体の安全性は保証される。また、最高10インターフェイスを備えたファイアウォールはDMZを細分化し、パートナーネットワークや、サプライチェーンなど、さまざまな外部ネットワークとの接続を行って、細かいパケットおよびセッション制御が可能である。

　ファイアウォールの基本機能であるパケットフィルタリングは、ASA（Adaptive Security Algorithm）と呼ばれるロジックに基づいている（図2）。ASAはステートフルパケットフィルタリングの中核をなすアルゴリズムであり、考え方である。ステートフルパケットフィルタリングは、セッションが開始されたネットワークとサービス、開始時間などを細かく分析、記録しておき、そのセッションがすでにファイアウォールによって許可され確立されたと見なすセッションのみを許可するメカニズムで動作している。

図2　ASAアルゴリズム

　PIXインターフェイスでは、接続されたそれぞれのネットワークに対してセキュリティレベルを設定することが必要だ。ASAアルゴリズムはセキュリティレベルの高いインターフェイスからの開始セッションはすべて許可し、セキュリティレベルの低いインターフェイスからのセッションは、管理者が許可の設定をしない限り、拒否する仕組みになっている。こうして各インターフェイスにセキュリティレベルの設定をするだけで、管理者は容易にセッション制御ができるようになるのだ。

　PIX Firewallは他社にはあまり見られない、フェイルオーバーと呼ばれる冗長メカニズムを備えている。冗長化は2つの方法のうちどちらかを選択することができる。

• 従来型の専用シリアルケーブルによる冗長構成
• LANケーブルを利用した、拡張型冗長構成

　もともとは専用シリアルケーブルを利用していたのだが、制限距離があるため、物理的に同じ場所（部屋）に設置する必要があった。だが、もっと柔軟性を持つ冗長化を望む声があったため、後からLANベースのフェイルオーバー機能が追加された。

　LANケーブルを利用した冗長構成は、既存の専用ケーブルで設置できる距離を伸ばし、物理的な場所によるリスクを低減している。

　どちらも、ステートフル・フェイルオーバー機能を実現可能だ。例えば、ストリーミング配信をしている途中に片方のPIXがダウンしたとしても、ステートをそのまま保持してもう片方のPIXが稼働するために、ユーザーは配信中にPIXがダウンを知ることはなく、また、配信のやり直しといったことをする必要もない。ユーザーがPIXのダウンを意識せず、快適にリッチコンテンツを見るにはこの機能は不可欠である。

■シスコのファイアウォール製品の主要ラインアップ

　専用機であるCisco Secure PIX Firewallの主要ラインアップは次のとおりだ。

• PIX501：小規模オフィス向きで、同時に3500セッションを制御、10Mb/sのスループット（クリアテキスト送信時）、同時に5つのVPNピアをサポート

• PIX506E：小〜中規模オフィス向きで、同時に1万セッションを制御、20Mb/sのスループット（クリアテキスト送信時）、同時に25のVPNピアをサポート

• PIX515E：小〜中規模オフィス向きで、同時に128,000セッションを制御、188Mb/sスループット（クリアテキスト送信時）、6つのインターフェイスを持ち、冗長構成がサポートされ、ここから上位機種となる

• PIX525：中〜大規模企業向けで、28万セッション以上を同時に制御し、370Mb/sスループット、最大インターフェイス数は8

• PIX535：現在ファイアウォール専用機の最上位モデルで、大規模からサービスプロバイダ向け、50万セッションを同時制御、クリアテキストスループット1.7Gb/sを実現し、最大10インターフェイスをサポート

　PIX535のさらに上位機種として、Catalyst6000シリーズに搭載するファイアウォールモジュールも発売されている。スループットはPIX535の1.7Gb/sよりもさらに速い5Gb/sで、サポートできるインターフェイス（論理的に）も100までと拡張されている。

「シスコの新しいセキュリティ資格、CCSPとは何か？」