ファイアウォールのルールとは
ファイアウォールのルールは、インターネットとイントラネット間の通信制御を行う重要な機能です。設定されるルールは大きく分けて「許可」と「拒否」の2種類があります。
許可ルール:特定の通信を通すためのルール
拒否ルール:特定の通信を遮断するためのルール
ファイアウォールでは、この「許可ルール」と「拒否ルール」を適切に設定することで、ネットワーク通信を正常に利用、運用できるよう制御します。
各ルールには、通信の処理条件とその条件に対するアクション(許可/拒否)が設定されており、ファイアウォールを通過する通信が発生した際、設定されたルールを上から順にたどり、該当するルールのアクションが実行されます。
未使用・重複ルールはネットワークセキュリティとパフォーマンスを低下させる
既存のルールを確認せずに新規ルールを追加すると相関関係が生まれ、ルール同士が矛盾する可能性があります。ルールの矛盾は、ネットワークセキュリティやファイアウォールのパフォーマンスに悪影響を与えます。セキュリティレベルやパフォーマンスが低下すると、内外部からの不正アクセスの発生やネットワーク通信遅延などの障害につながる可能性もあります。
未使用のルールを定期的に整理することで、ファイアウォールの処理機能の低下を防ぐことができます。そのため、定期的にルールを監査し、重複するルール、および未使用ルールを整理することが重要です。また、使用頻度の高いルールを上部に配置し使用頻度の低いルールを下部に移すことも、ファイアウォールの処理能力の向上につながります。ネットワーク内では、様々な種類のルールが様々なタイミングで使用されるため、ルールの配置管理も定期的に実施することが望ましいと考えられます。
ルール整理を手軽に行う方法
手作業でファイアウォールに設定されている全てのルールを定期的に整理することは、困難な作業です。そこで、多くの企業でツールを活用したファイアウォールルール管理が行われています。
ManageEngineでは、年間14.7万円から利用できるツール「ManageEngine Firewall Analyzer」をご提供しています。
Firewall Analyzerを使用することにより、ファイアウォールに設定されているルール全体を自動で取得することを実現します(※一部、ベンダーによってコンフィグファイルの手動インポート)。また、整理を簡単にするために、以下の基準でルールをフィルタリングすることもできます。
- 許可および拒否ルール
- インバウンド/アウトバウンドルール
- 無効ルール
- ロギングが無効化されているルール
- 寛容な(Any)許可ルール
各種ルールのダッシュボード
未使用ルール
