キャンセル
次の結果を表示 
次の代わりに検索 
もしかして: 
tkudo
Level 10

Endpoint Security Firewall (ENS-FW)導入の手引き (序)

みなさんこんにちは

インテルセキュリティテクニカルサポートセンターです。

Endpoint Security を公開してから、ファイアウォール機能を導入したいけど敷居が高そうでちょっと....といったことをお伺いする機会が増えましたので、

簡単ではありますが、いくつかのパートに分けてファイアウォール導入までのプロセスを説明していきたいと思います。今回は初めてファイアウォールを

導入されることもあるかと思いますので、まずはファイアウォールとは何ぞやといったあたりからお話したいと思います。

ファイアウォールとは一般的に外部ネットワークからの不正なアクセスなどの攻撃から、ネットワークやコンピュータを防御する役割をするものをファイア
ウォールといいます。世の中にはOSなどのプラットフォームの一部から、サードパーティのGW対策用アプライアンス、ソフトウェアベースで動作するもの

と実に様々なファイアウォールがあります。

ではファイアウォールは、どんな方法で不正なアクセスなどの攻撃から皆さんのネットワークを守っているかをご存じですか?
簡単ではありますが、今回はファイアウォールの一般的な概念を説明したいと思います。

アクセスコントロール方式:
ネットワークポートやIPアドレス、プロトコルをベースとした複数のアクセスコントロールルールを組み合わせ、ルールに合致したアクセスのみを許可します。

どのルールにも合致しない場合には、暗黙のdeny(ANY-ANY-DENY)と呼ばれるルールが適用され、最終的に全てのアクセスがブロックされます。

またシグネチャ方式に比べてルールがシンプルなため誤検知が発生しにくい利点もあります。

シグネチャ方式:
ベンダーから定期的に更新されるシグネチャをベースにネットワークトラフィックを解析し、不正なアクセスなど悪意のあるネットワークアクセスをブロック

します。アクセスコントロール方式ではルールに合致してるかのみでアクセス可否が判断されますが、パケットの内容を解析しますので、アクセスコントロール

よりも細かい検出が可能です。※IPS(Intrusion Detection System)と呼ばれることもあります。

現在のファイアウォールの動作を2つに大きく分けると、アクセスコントロール方式とシグネチャ方式があり、今回ご紹介する Endpoint Security Firewall (ENS-FW)

は前者のアクセスコントロール方式が使用されています。またアクセスコントロールを採用する多くのファイルウォールベンダー様と同じように各ルールの優先度

設定がもできますし、以下のようにルールにも合致しない場合には暗黙のdenyルールが適用されて全てのアクセスがブロックされます。

アクセスコントロール方式の概念図

優先度送信先 IP アドレス送信元 IP アドレスプロトコル送信先 ポート送信元 ポートアクション

1

ANY172.16.200.0/24TCP, UDP443, 80, 110, 25ANY許可

2

192.168.24.0/24172.16.0.0/16TCPANY49152–65535許可
3172.16.200.0/24172.16.243.116TCP, UDP21ANY許可
4ANY172.16.0.0/16ANY21ANYブロック
5ANYANYANYANYANYブロック

Tomohiro Kudo
VSE/ePO/MA Support Engineering Operations, Japan
Intel Security

Shibuya Markcity West 16F
Dougenzaka 1-12-1, Shibuya-ku,
Tokyo, 1500043, Japan