概要
ファイアウォール(FW)は、事前定義したポリシーに基づいてネットワーク通信を許可・遮断するセキュリティ装置です。SC試験では「どのレイヤで動作するか」「DMZ をなぜ設けるか」「WAF との違い」などが問われます。
仕組みと動作原理
ファイアウォールの種類
| 種類 | 動作層 | 特徴 |
|---|---|---|
| パケットフィルタ型 | L3/L4 | 送受信IPアドレス・ポート番号・プロトコルで判定。高速だがセッション状態を追わない |
| ステートフルインスペクション(SPI) | L3/L4 | セッションの状態テーブルを管理。戻りパケットを自動許可 |
| アプリケーションゲートウェイ(プロキシ型) | L7 | HTTP/FTPなどアプリプロトコルを解析。高セキュリティだが処理負荷高 |
| WAF(Web Application Firewall) | L7 | HTTP 通信に特化。SQLインジェクション・XSSなどの攻撃パターンを検出 |
| NGFW(次世代FW) | L3〜L7 | SPI+アプリ識別+IPS+SSL インスペクションを統合 |
DMZ(非武装地帯)の構成
DMZ は、インターネットと内部ネットワークの中間に設ける「公開サーバ用ゾーン」です。
インターネット
↓
[外部FW]
↓
DMZ(公開Webサーバ・メールサーバ・DNSサーバ等)
↓
[内部FW]
↓
内部ネットワーク(業務端末・DBサーバ等)DMZ を設ける理由:公開サーバが侵害されても、内部ネットワークへの侵入を内部 FW で阻止できる。
フィルタリングポリシーの設計原則
- デフォルト拒否(Allow by Exception):明示的に許可した通信のみ通過させる
- 最小権限の原則:必要最低限のポートとプロトコルのみ許可
- インバウンド/アウトバウンドの区別:外部→内部(インバウンド)と内部→外部(アウトバウンド)を個別に制御
SC試験での頻出ポイント
- パケットフィルタ vs SPI の違い:SPI はコネクション追跡ができるため、戻りパケット許可ルールを個別に書く必要がない
- WAF の位置づけ:通常の FW では防げない L7 攻撃(SQLi・XSS・CSRF)を防ぐ。ただし TLS 通信の中身を見るには SSL/TLS 復号が必要
- DMZ の三重構成の意味:外部 FW と内部 FW で異なるベンダー製品を使う「多層防御」が推奨される
- IDS/IPS との違い:IDS は検知のみ(シグネチャ型・アノマリ型)、IPS は遮断まで行う。FW と組み合わせて使用
- ファイアウォールポリシーの管理:暗黙の deny ルール(ルールリストの末尾)の存在
よくある誤問・ひっかけパターン
誤り① 「ファイアウォールで XSS 攻撃を防げる」→ 通常は不可。L3/L4 FW には HTTP ペイロードを解析する機能がありません。WAF が必要です。
誤り② 「DMZ に置いたサーバは攻撃されない」→ 誤。DMZ はインターネットから直接アクセス可能なゾーンです。公開サーバへの攻撃は発生し得ます。
誤り③ 「SPI はアプリケーション層の内容を検査できる」→ 誤。SPI は L4 のセッション状態を追うもので、ペイロード内容の深い検査はアプリケーションゲートウェイや WAF の役割です。
関連用語
- VPN(IPsec / SSL-VPN) — VPN ゲートウェイは FW の外側・DMZ に配置されることが多い
- TLS(Transport Layer Security) — WAF が HTTPS を検査するには TLS 復号が必要
- SQLインジェクション — WAF が防ぐ代表的な L7 攻撃
重要キーワード
| 用語 | 説明 |
|---|---|
| パケットフィルタリング | IPアドレス・ポート番号・プロトコルによる通信制御 |
| ステートフルインスペクション | セッション状態を管理し戻りパケットを自動許可する方式 |
| DMZ | 内外ネットワークの中間に置く公開サーバ用ゾーン |
| WAF | Webアプリへの攻撃(SQLi・XSSなど)を検出・遮断するL7FW |
| デフォルト拒否 | 明示的に許可されていない通信をすべて遮断するポリシー原則 |
| IPS | 不正通信をリアルタイムに検知して遮断するインライン型装置 |