アクセス制御ルール:ファイアウォールポリシーとは?
ファイアウォールポリシー(Firewall policy)とは、ファイアウォールを運用する上でのセキュリティポリシー全般のことをいいます。中でも、ファイアウォールに設定するアクセス制御のルールのことをさして言われることが多く、ファイアウォールルール(Firewall rule)とも呼ばれています。
ファイアウォールは外の世界(インターネット)と中の世界(イントラネット)のゲートウェイに設置されます。外の世界には多くの危険が潜んでいます。また、すべての通信が集中するゲートウェイの回線の太さには限りがあります。
ファイアウォールポリシーとは、例えば、外部からの攻撃や不正アクセスをファイアウォールで遮断する、外へ出ていく通信の内、業務とは関係のない特定のサイトへのアクセスを制限するといった、アクセス制御をするためのルールです。
一般的に、ポリシーはいくつも設定され、それらは優先順に並んでいます。ファイアウォールは各通信に対して、設定されているポリシーに違反していないかを優先順にチェックし、違反している通信を遮断します。
カンタンにポリシーを可視化する方法を解説
不十分なポリシー設計が生む最悪のシナリオ
未使用のポリシーや重複するポリシー(ルール)が多ければ多いほど、機器に無駄な負荷をかけることになります。また、機器のパフォーマンスが低下しネットワーク遅延が発生したり、最悪の場合、ネットワークダウンといった事態に陥る可能性があります。
この最適化のために生ログを読み解く作業は非常に工数がかかるため、多くのネットワーク管理者がファイアウォールの未使用ポリシー、重複するポリシーを可視化してくれるログ解析ツールを導入しています。
未使用ポリシーを簡単に可視化するツール
ManageEngineが提供するFirewall Analyzerは、FortiGateやPalo Altoなど、各ベンダーのファイアウォール、UTM、プロキシサーバーのログを収集・可視化、また、未使用ポリシーや重複するポリシーを可視化する解析ツールです。運用に乗せやすいシンプルで分かりやすい管理画面と30日間無料で使えるのが特長です。
最短10分で可視化できます[機能・台数 無制限]
不要な許可ポリシー/オブジェクトの棚卸でセキュリティを強化
ファイアウォール機器では特定の通信を制御するために、初めにすべての通信を遮断し、必要な通信に関してポリシー(以下、ルール)を追加して許可する方式が一般的です。そのようにして作成されたルールは、通信におけるセキュリティを強固にしますが、時として不必要なルールまで作成してしまうことがあります。そのような不要なルールを放置することは、脆弱なルールを作成することと同じくらいのセキュリティリスクがある、と言われています。
また、オブジェクトについても、不必要なものを作成したまま放置してしまうことがあります。ファイアウォールにおけるオブジェクトとは、ルール内で送信元や宛先として指定するサーバーやIPセグメント、サービス(ポート番号)などを定義するものであり、ルールを作成する上で必須のものです。こちらも同様に、攻撃者に悪用されることがあります。
「ルールセットに抜け穴があるということは、ネットワーク全体が脆弱である 」といっても過言ではありません。 Firewall Analyzerを利用することで、使っていない不要なポリシーを判別することができ、ファイアウォールのセキュリティを向上できます。
ファイアウォール機器 のルール/アクセスリストには、よく使われるもの、あまり使われないもの、全く使われないものがあります。よく使われるルールのほとんどはファイアウォールが生成するログに書き込まれるため、Firewall Analyzerは「Top使用ルール」として表示します。
一方、未使用ルールの情報を得るには、Firewall Analyzerを使って機器に設定されたルールを取得する必要があります。 一度全てのルールを取得すると、Firewall Analyzerはそれらのルールを「ルールクリーンアップビュー」として表示できます。