ファイアウォールはネットワーク セキュリティ構造で、事前に設定したルールに基づいて、ネットワーク トラフィックを監視して、コンピューター システムのプライベート データへの不正アクセスを部外者からブロックすることによってネットワークを保護することが可能です。 ネットワーク ファイアウォールは、信頼できるネットワークと信頼できないネットワークの間にバリアを確立します。
さらに、ネットワーク ファイアウォールは、信頼できないトラフィックをブロックするだけでなく、コンピュータに感染する悪質なソフトウェアをブロックし、正当なトラフィックを通過させることができます。 ネットワークファイアウォールは通常、ホームネットワークセキュリティの最初の防御線として機能します。
- 8 ファイアウォールの種類
- Packet-filtering firewalls
- Circuit-level gateways
- Application-level gateways/ Layer 7
- Stateful inspection firewalls
- Cloud firewalls
- ハードウェア ファイアウォール
- Software Firewalls
- Next-generation firewalls
- How to Configure and Manage a Secure Firewall?
- 2. ファイアウォールゾーンと対応するIPアドレスを作成する
- 3. アクセス制御リスト (ACL) を設定する
- 4 必要な規格に他のファイアウォールサービスを構成する
- 5. ネットワークファイアウォール設定テストの実施
- 6. ファイアウォールの一定した管理
- Additional tips for configuring firewall securely
- 安全なネットワークファイアウォールの作成についての詳細
- FAQS
8 ファイアウォールの種類
ファイアウォールにはさまざまな種類がありますが、通常はホストベースのシステムまたはネットワークベースのシステムのいずれかに分類されます。 同様に、ネットワークファイアウォールセキュリティアプライアンスは、仮想プライベートネットワーク(VPN)または動的ホスト構成プロトコル(DHCP)などのファイアウォール以外の機能を提供することができます。 4157>
Packet-filtering firewalls
This is the oldest and most basic
type that creates a checkpoint for packets transferred between computers.This is the most common type of firewalls.See the most common type of firewalls. パケットを開いて中身を検査することなく、送信元と送信先のプロトコル、IPアドレス、送信先ポートなどの表面的な情報でフィルタリングします。
情報パケットが検査基準に満たない場合、そのパケットはドロップされます。 この種のファイアウォールは、極端にリソースを消費するものではない。 しかし、より堅牢な検査能力を持つファイアウォールと比較すると、比較的容易にバイパスすることができます。
Circuit-level gateways
パケットフィルタリングファイアウォールと異なり、回路レベルのゲートウェイは非常に多くのリソースを必要とします。 このファイアウォールタイプは、TCP(Transmission Control Protocol)ハンドシェイクを検証することで機能します。 TCP ハンドシェイクは、セッション パケットが本物のソースからのものであることを確認するために設計されたチェックです。
サーキットレベル ゲートウェイは、重要なコンピューティング リソースを消費せずに、迅速かつ簡単にトラフィックを拒否または承認するように意図された単純化したタイプのファイアウォールです。 とはいえ、このファイアウォール タイプは、パケット自体を検査するわけではありません。
Application-level gateways/ Layer 7
Proxy Firewalls は、ネットワーク ソースとネットワーク間の受信トラフィックをフィルタリングするためにアプリケーション レベルのレイヤーで実行されます。 これらのファイアウォールタイプは、クラウドベースのソリューションや他のプロキシシステムを通じて提供されます。 プロキシファイアウォールは、パケットとTCPハンドシェイクプロトコルの両方を見ます。 ただし、マルウェアがないことを検証するために、深層パケット検査を行うこともあります。
アプリケーション層フィルタリングの大きな利点は、ハイパーテキスト転送プロトコル(HTTP)、ドメイン名システム(DNS)、またはファイル転送プロトコル(FTP)などの特定のアプリケーションおよびプロトコルを理解できることです。
Stateful inspection firewalls
Stateful inspection firewallは、TCPハンドシェイク認証とパケット検査の両方を統合し、パケットフィルタリングファイアウォールや回線レベルのゲートウェイだけで保証できる以上のネットワークセキュリティを確立することが可能です。
Cloud firewalls
クラウドベースのファイアウォールの主な利点は、組織に合わせて驚くほど簡単に拡張できることです。 クラウド・ファイアウォールは、ファイアウォール・アズ・ア・サービス (FaaS) とも呼ばれます。
ハードウェア ファイアウォール
このタイプのファイアウォールは、トラフィック ルーターと同様の動作をする物理デバイスを実装し、ネットワークのサーバーに接続する前にトラフィック要求とデータ パケットをチェックします。
Software Firewalls
これには、個別のハードウェアやクラウドベースのソリューションの代わりに、ローカル システムにインストールされるファイアウォールが含まれます。 ソフトウェアファイアウォールは、異なるネットワークエンドポイントを互いに分離することにより、多重防衛を確立する際に非常に有益です。
Next-generation firewalls
「次世代」ファイアウォールは、新しくリリースされたファイアウォール製品のほとんどを含みます。 何が次世代ファイアウォールを特徴づけるかについて、あまりコンセンサスはありませんが、いくつかの共通の機能には、TCP ハンドシェイクインスペクション、ディープパケットインスペクション、およびサーフェスレベルインスペクションパケットがあります。
How to Configure and Manage a Secure Firewall?
コンピューターネットワークの防御を確実にするために導入できる、いくつかの適切なファイアーウォール標準があります。 しかし、以下のステップは、選択したファイアウォールプラットフォームに関係なく、非常に重要です。 ファイアウォールが安全であることを確認する
ファイアウォールを保護することは、安全なファイアウォールを構成し管理するための最初のステップです。
- Disable simple network management protocol (SNMP)
- Rename, disable, or delete any default user account and modify all your default passwords
- Establish additional administrator accounts based on responsibilities, especially if multiple administrators will manage your firewall.See still be used in your firewall.See still be available to your firewall to use your own personal personal account, not be all your personal personal account.
2. ファイアウォールゾーンと対応するIPアドレスを作成する
ゾーンを設定するほど、ネットワークの安全性は高まります。
安全な構造を設計し、同等の IP アドレス構造を作成したら、ファイアウォール ゾーンを構築し、ファイアウォール インターフェイスやサブインターフェイスに割り当てる準備が完全に整っています。
3. アクセス制御リスト (ACL) を設定する
ネットワーク ゾーンを確立し、それらをファイアウォール インターフェースに割り当てたら、次のステップでは、各ゾーンに流入および流出する必要があるトラフィックを決定します。 これは、アクセス制御リスト (ACL) によって可能になるでしょう。 ネットワーク・ファイアウォールの各インターフェースとサブインターフェースにアウトバウンドとインバウンドの両方のACLを使用して、各ゾーンへの承認されたトラフィックのみを出入りさせます。
4 必要な規格に他のファイアウォールサービスを構成する
侵入防止システム(IPS)やネットワーク時間プロトコル(NTP)、DHCPなどとして機能させるファイアウォールの能力に応じて、必要とするサービスを構成して自分に関係のない追加のサービスすべてを無効とすればいいのです。
ファイアウォールがログサーバーに適切にレポートするよう設定するには、PCI DSSの要件を参照し、PCI DSSの10.2~10.3の要件を満たす必要があります。
5. ネットワークファイアウォール設定テストの実施
ファイアウォールが期待通りに動作していることを確認するために、ファイアウォールをテストする必要があります。 ファイアウォールの設定をテストするために、侵入テストと脆弱性スキャンの両方を含める必要があります。
6. ファイアウォールの一定した管理
ファイアウォールの設定が完了したら、ファイアウォールの安全な管理を保証することが必要です。 これを効果的に行うために 脆弱性スキャンの実施
Additional tips for configuring firewall securely
- NIST などの標準規制を遵守する。 PCI DSS、ISO。
- ファイアウォール設定を頻繁に変更する
- トラフィックをデフォルトでブロックし、ユーザーアクセスを監視する
- 安全な接続のみを確立し使用する
- 設定変更を合理化し、設定の抜け道をなくす
- ファイアウォール設定を常にテストする
- 設定変更をすべてリアルタイムで記録する
- ファイアウォールを安全に管理するための追加のヒント
- ファイアウォール変更管理計画を明確に定義する
- ファイアウォール ポリシーの変更の影響をテストする
- ファイアウォール ルール ベースを整理して最適化する
- ファイアウォール ソフトウェアを定期的に更新する
- 複数のファイアウォールに対して集中的に管理するベンダーのファイアウォール
安全なネットワークファイアウォールの作成についての詳細
認定ネットワークディフェンダー (CND) は、識別、管理、セキュリティ、およびネットワーク管理について十分な訓練を受けた、経験豊富なネットワーク管理者を養成するための認定プログラムです。 ネットワークに関連するあらゆる脆弱性や攻撃を防御し、対応し、緩和することができます。 CND認定プログラムは、ネットワークセキュリティ技術や運用に関する実世界の最新知識を認定ネットワーク管理者に提供する、注目のネットワークセキュリティソフトウェア、ツール、および技術を通じて構築された実践的なラボを含んでいます。 EC-CouncilのCNDプログラムの詳細については、こちらをご覧ください。
FAQS
ファイアウォールルールはどのように整理されていますか?ファイアウォールルールについては、以下のとおりです。- 各ファイアウォールルールは、ルールがどのようなアクションを行うためのものかを認識するために記録されるべきです
- ファイアウォールルールを追加または変更する前に、そのルールを記録します。 473>
- デフォルトですべてのトラフィックをブロックし、認識されたサービスへの特定のトラフィックのみを許可する
- ファイアウォール ルールを正確に設定し、クリアする
- ルールを設定する explicit drop rule (Cleanup Rule)
- Audit logs
- Ensure old firewall rules are reviewed and delete when necessary
Firewallを強化するにはどうしたらよいですか?ネットワーク内のセキュリティの課題に対処し、ファイアウォールを強化する方法は次のとおりです。- 何よりも重要なリソースを確実に保護する
- 周辺のセキュリティと内部のセキュリティは異なることを常に忘れない
- すべての VPN ユーザーに内部ネットワーク全体への自由裁量権を与えないことです。
- インターネットを確立する。パートナーのエクストラネットのためのスタイル境界線
- 仮想境界線を作成する
- セキュリティポリシーを自動的に監視する
- セキュリティの決定を正当化する
- アイドルネットワークの電源をオフにする サービス
- 不正な無線アクセスポイントを排除し、安全な無線アクセスを確立
- 安全な訪問者アクセスを構築
Firewall Rule Reviewをどのように使用しますか?ファイアウォールが最新のエクスプロイトに対して脆弱でないことを確認する脆弱性評価や、セキュリティ ポリシーやファイアウォール ソフトウェアの設定など、ファイアウォール ソフトウェアおよび OS の脆弱性をチェックし、最新のパッチをインストールすることを確認する公式監査があります。しかし、セキュリティ ポリシーの評価、陳腐化したサービス、ルール、ポリシー準拠、パフォーマンスのための再配置のために、Firewall Rule Review が必要とされています。 ファイアウォールルールが正しい順番で並んでいることを確認するために、次々とステップを踏んでいく必要があるのです。 ネットワークセキュリティオフィサーやファイアウォールは、ファイアウォールルールレビューを行うことが多い。