情報セキュリティ

【基本情報】ネットワークセキュリティの基本!ファイアウォールとDMZを解説

  /
お茶ん太
お茶ん太

この記事では、ファイアウォールとDMZについて、初心者にも分かりやすく図解付きで丁寧に解説しています!

ファイアウォール

  • ファイアウォールとはLANとインターネットの間に壁を作り、不正なアクセスを内部に入れない、外部に情報を漏えいさせない機能を実現する

パケットフィルタリング型ファイアウォール

  • パケットのヘッダ情報である「送信元・宛先のIPアドレス」と「宛先のポート番号」等を確認して社内LANに通して良いかどうか判断するファイアウォール

WAF

  • WAFはWebアプリケーションの脆弱性を突いた攻撃からWebサーバを守るためのファイアウォール
  • パケットの中身を見てWebサーバに通して良いかどうか判断するファイアウォール

DMZ

  • DMZは社内LANとインターネットの間に構築するネットワーク
  • 不特定多数に公開するWebサーバやMailサーバをDMZに配置する。DMZに配置したサーバが不正アクセスされても、社内LANと隔離されているため、社内LANを守ることが出来る
  • DMZに配置したサーバでインターネットにアクセスし、社内LANのコンピュータにデスクトップ画像だけを送る仕組みをVDIと呼ぶ
目次
  1. ネットワークセキュリティの基本-ファイアウォール
  2. パケットフィルタリング型ファイアウォール
  3. WAF(Web Application Firewall)
  4. DMZ
  5. 基本情報技術者試験での出題例

ネットワークセキュリティの基本-ファイアウォール

ネットワークのセキュリティ対策の基本は外部と内部の間に壁を作ることです。
認められたデータやしか内側に入れない、外側に意図せずデータを漏らさない壁が重要になります。このような壁をファイアウォールと呼びます。

パケットフィルタリング型ファイアウォール

パケットフィルタリング型ファイアウォールは、パケットのヘッダ情報である「送信元・宛先のIPアドレス」と「宛先のポート番号」等を確認して、通して良いかどうかを判定します。つまり、「誰が誰に」対して「どういう目的で」送られたデータなのかを確認するということです。

パケットフィルタリング型ファイアウォールでは、基本的に全てのパケットをNGにしておいて、例外的に通過を認めるIPアドレスやポート番号を設定します。

WAF(Web Application Firewall)

WAFはWeb Application Firewallの略で、Webアプリケーションの脆弱性を突いた攻撃を防ぐためのファイアウォールです。パケットフィルタリング型ファイアウォールはパケットのヘッダ情報で判定しましたが、WAFはパケットの中身で判定します。
Webアプリケーションとは、ChromeやEdge等のWebブラウザを介してサービスを提供するアプリで、例えば、Youtubeやネットバンキング、ECサイト等がそれに当たります。

WAFはWebアプリケーションの脆弱性を突いた攻撃に対策する技術なので、守るものは当然Webサーバになります。

DMZ

社外の不特定多数の人に向けてサービスを提供するために、WebサーバやMailサーバを外部に公開する必要があるケースもあります。
このような場合、LANとインターネットの間にDMZと呼ばれるネットワークを構築し、DMZに公開用のサーバを置きます。DMZはLANと隔離されているため、公開用サーバが不正にアクセスされたとしてもLANに被害は及びません。

基本情報技術者試験での出題例

令和5年度問10

基本情報技術者
科目A 令和5年度問10

図のような構成と通信サービスのシステムにおいて,Webアプリケーションの脆弱性対策のためのWAFの設置場所として,最も適切な箇所はどこか。ここで,WAFには通信を暗号化したり,復号したりする機能はないものとする。

ア a     イ b     ウ c     エ d

正解と解説

正解は”ウ”

WAFはパケットの中身を見て、安全かどうかを判定します。
なので、通信内容を復号化した後、Webサーバにパケットが届く前に設置する必要があります。よって、答えはウです。

ちなみに、SSLアクセラレータとは通信を暗号/復号化する機器です。

令和元年度秋期問42、平成29年度春期問43

基本情報技術者
午前試験 令和元年度秋期問42、平成29年度春期問43

1台のファイアウォールによって,外部セグメント,DMZ,内部セグメントの三つのセグメントに分割されたネットワークがあり,このネットワークにおいて,Webサーバと,重要なデータをもつデータベースサーバから成るシステムを使って,利用者向けのWebサービスをインターネットに公開する。インターネットからの不正アクセスから重要なデータを保護するためのサーバの設置方法のうち,最も適切なものはどれか。ここで,Webサーバでは,データベースサーバのフロントエンド処理を行い,ファイアウォールでは,外部セグメントとDMZとの間,及びDMZと内部セグメントとの間の通信は特定のプロトコルだけを許可し,外部セグメントと内部セグメントとの間の直接の通信は許可しないものとする。

ア WebサーバとデータベースサーバをDMZに設置する。

イ Webサーバとデータベースサーバを内部セグメントに設置する。

ウ WebサーバをDMZに,データベースサーバを内部セグメントに設置する。

エ Webサーバを外部セグメントに,データベースサーバをDMZに設置する。

正解と解説

正解は”ウ”

重要なデータをもつデータベースは内部セグメントに隠し、不特定多数にサービスを公開するWebサーバはDMZに設置します。よって答えはウです。