ファイアウォール - ファイアウォール
ネットワークトラフィックを監視・制御し、不正なアクセスを遮断するセキュリティ装置。パケットフィルタリングやステートフルインスペクションなどの方式がある。
概念図
実例
SSH を特定サブネットのみに許可
bash
iptables -A INPUT -p tcp --dport 22 -s 192.168.1.0/24 -j ACCEPT
iptables -A INPUT -p tcp --dport 22 -j DROPUFW で HTTPS を許可して有効化
bash
ufw allow 443/tcp
ufw enableファイアウォールの種類と仕組み
ファイアウォールはネットワーク境界でトラフィックをフィルタリングする防御の要です。
- パケットフィルタリング: IP アドレス・ポート番号・プロトコルに基づいてパケットを許可/拒否する。最もシンプルな方式
- ステートフルインスペクション: 通信の状態(コネクションの確立状況)を追跡し、文脈に応じた判断を行う
- アプリケーション層ファイアウォール(WAF): HTTP リクエストの内容を解析し、SQL インジェクションや XSS を検知する
- 次世代ファイアウォール(NGFW): アプリケーション識別、侵入防止、マルウェア検知を統合した多機能型
設計と運用のベストプラクティス
- デフォルト拒否ポリシー: 全トラフィックを拒否した上で、必要な通信のみを許可する(ホワイトリスト方式)
- 最小権限の原則: 必要最小限のポートとプロトコルのみ開放する
- ルールの定期見直し: 不要になったルールを削除し、ルールセットを簡潔に保つ
- ログの監視: 拒否されたトラフィックのログを監視し、攻撃の兆候を検知する
- 冗長構成: アクティブ/スタンバイ構成で単一障害点を排除する