0 返信 最新の回答 日時: May 30, 2016 2:31 AM ユーザー:tkudo

    Endpoint Security Firewall (ENS-FW)導入の手引き (序)

    tkudo

      みなさんこんにちは

      インテルセキュリティテクニカルサポートセンターです。

       

      Endpoint Security を公開してから、ファイアウォール機能を導入したいけど敷居が高そうでちょっと....といったことをお伺いする機会が増えましたので、

      簡単ではありますが、いくつかのパートに分けてファイアウォール導入までのプロセスを説明していきたいと思います。今回は初めてファイアウォールを

      導入されることもあるかと思いますので、まずはファイアウォールとは何ぞやといったあたりからお話したいと思います。

      ファイアウォールとは一般的に外部ネットワークからの不正なアクセスなどの攻撃から、ネットワークやコンピュータを防御する役割をするものをファイア
      ウォールといいます。世の中にはOSなどのプラットフォームの一部から、サードパーティのGW対策用アプライアンス、ソフトウェアベースで動作するもの

      と実に様々なファイアウォールがあります。

       

      ではファイアウォールは、どんな方法で不正なアクセスなどの攻撃から皆さんのネットワークを守っているかをご存じですか?
      簡単ではありますが、今回はファイアウォールの一般的な概念を説明したいと思います。

       

      アクセスコントロール方式:
      ネットワークポートやIPアドレス、プロトコルをベースとした複数のアクセスコントロールルールを組み合わせ、ルールに合致したアクセスのみを許可します。

      どのルールにも合致しない場合には、暗黙のdeny(ANY-ANY-DENY)と呼ばれるルールが適用され、最終的に全てのアクセスがブロックされます。

      またシグネチャ方式に比べてルールがシンプルなため誤検知が発生しにくい利点もあります。

       

       

      シグネチャ方式:
      ベンダーから定期的に更新されるシグネチャをベースにネットワークトラフィックを解析し、不正なアクセスなど悪意のあるネットワークアクセスをブロック

      します。アクセスコントロール方式ではルールに合致してるかのみでアクセス可否が判断されますが、パケットの内容を解析しますので、アクセスコントロール

      よりも細かい検出が可能です。※IPS(Intrusion Detection System)と呼ばれることもあります。

       

      現在のファイアウォールの動作を2つに大きく分けると、アクセスコントロール方式とシグネチャ方式があり、今回ご紹介する Endpoint Security Firewall (ENS-FW)

      は前者のアクセスコントロール方式が使用されています。またアクセスコントロールを採用する多くのファイルウォールベンダー様と同じように各ルールの優先度

      設定がもできますし、以下のようにルールにも合致しない場合には暗黙のdenyルールが適用されて全てのアクセスがブロックされます。

       

       

      アクセスコントロール方式の概念図

      優先度送信先 IP アドレス送信元 IP アドレスプロトコル送信先 ポート送信元 ポートアクション

      1

      ANY172.16.200.0/24TCP, UDP443, 80, 110, 25ANY許可

      2

      192.168.24.0/24172.16.0.0/16TCPANY49152–65535許可
      3172.16.200.0/24172.16.243.116TCP, UDP21ANY許可
      4ANY172.16.0.0/16ANY21ANYブロック
      5ANYANYANYANYANYブロック

       

       

       

      Tomohiro Kudo
      VSE/ePO/MA Support Engineering Operations, Japan
      Intel Security

      Shibuya Markcity West 16F
      Dougenzaka 1-12-1, Shibuya-ku,
      Tokyo, 1500043, Japan