ファイアウォールの設計とは
ファイアウォールの設計とは
ファイアウォールの設計では、使用するファイアウォールの機能、ファイアウォールのポリシー適用ポイント、最終的なファイアウォールの設定方法など、総合的なセキュリティポリシーを組織で決定する必要があります。
ファイアウォールの設計の仕組み
ファイアウォールの設計時に従う5つの手順は次のとおりです。
- 組織のセキュリティ要件を特定する。セキュリティ要件とセキュリティ態勢を評価し、それらの情報をセキュリティ要件の定義に使用します。
- 総合的なセキュリティーポリシーを定義する。セキュリティポリシーでは、ネットワークリソース、アクセスポリシー、認証管理について明確に定義し、すべてのセキュリティ要件にファイアウォールが対応できるようにします。
- ファイアウォールの基本概念を定義する。組織の外部からの脅威と内部関係者による攻撃から保護するリソース、アプリケーション、サービスを特定することで、ファイアウォールの定義と設定が容易になります。
- 許可する通信を特定する。許可される利用に関するポリシーを定義して、LANおよびインターネットWebサービスで許可および拒否されるアプリケーションなどのネットワークアクティビティのタイプを指定します。
- ファイアウォールのポリシー適用ポイントを特定する。ポリシー適用ポイントの決定は、ファイアウォールの設計の基本です。ファイアウォールは、プライベートLANとインターネットなどのパブリックネットワーク間のエッジに導入されます。
保護の手段として、ネットワークの正常なトラフィックパターンを特定するネットワークトラフィックベースラインプロファイルを作成します。ベースラインを設定することで、異常な動作を計測し、攻撃から守るためのしきい値を設定できます。
ファイアウォールの設計が対処する問題
ファイアウォールテクノロジーは、パケットフィルターファイアウォールから次世代型ファイアウォールに進化してきました。複雑さを増すサイバースペースに対応し、リソースを保護し、不正な目的でファイアウォールを突破しようとするサイバー攻撃者の試みを阻止する新しいサービスとソリューションが現れました。ネットワークに効果的なファイアウォールを展開することは、設定以外にも多くの作業がともないます。ベストプラクティスは、セキュリティポリシーの作成、ファイアウォールの設計と設定プロセスの向上、ネットワークのセキュリティ要件を満たすファイアウォールの導入に貢献します。
ファイアウォールの設計でできること
ベストプラクティスでは、ネットワークの特徴を明確にし、セキュリティに対する姿勢を文書化し、セキュリティに関する組織の位置付けを定義することを推奨しています。
- ネットワークリソースとセキュリティ要件を特定します。
- 既知の脅威と攻撃への対処方法を特定します。
- オペレーティングシステム、バージョン、アプリケーションを文書化します。
- 従業員の役割とユーザー要件に基づいて、許可される通信とアクセス権限に対する組織のワークフローを定義します。
- ファイアウォールのポリシー適用ポイントを決定します。エッジ(インターネットに接続)、コア(企業に接続)、またはDMZ(防御要塞の最前線)を保護するファイアウォールを導入します。
- ファイアウォールを簡素に設計します。
保護の手段として、ネットワークの正常なトラフィックパターンを特定するネットワークトラフィックベースラインプロファイルを作成します。ベースラインを設定することで、異常な動作を計測し、攻撃から守るためのしきい値を設定できます。
ジュニパーネットワークスの実装
ジュニパーネットワークスSRXシリーズデバイスは、ファイアウォールセキュリティサービスを導入し、設計と導入を簡素化します。これには、機能要件に特化したゾーンの作成、ユーザーのグループのサーバからの分離、グループのサブネットに基づいたゾーンへのユーザーグループの割り当て、企業ポリシーの設計が含まれます。