次世代ファイアウォールを適用する利点の 1 つは、特定のアプリケーション要素に対するポリシーの設定と管理を行う際に、アプリケーションの認識と粒度が向上することです。
対照的に、旧世代のファイアウォールは、ポートやプロトコルの特定のルールセットに依存して動作していました。例えば、ポート20と21経由の着信パケットをブロックするファイアウォールルールを作成した場合、ユーザーは他のファイル転送プロトコルを使用することはできませんが、ファイル転送プロトコルを使用するIT部門にはあまりにも適用できません。そのため、FTPプロトコルを使用するユーザーのために、特別なケースを追加した別のルールセットを作成する必要がありました。単純な問題が複雑で厄介なルールセットになったわけです。
図1 アプリケーションの大規模なデータベースは、管理者が特定のソフトウェアの相対的なリスクを判断するのに役立ちます。
そこで便利なのが、きめ細かなアプリケーション・コントロールです。新世代のファイアウォール製品は、ネットワーク管理者が特定の動作をモデル化し、きめ細かなアクセス・ポリシーを作成するために使用できる、広範なアプリケーション・データベースを備えています。これらのアプリケーション・データベースはどの程度充実しているのでしょうか?Palo Alto Network の Applipedia をご覧ください(図 1)。図 1 では、特定のアプリケーションの相対的なリスク、回避可能な典型的なセキュリティ検出製品、および使用されているテ クノロジを確認できます。
Cisco の SenderBase と McAfee の TrustedSource は同様のデータベースを持ち、どちらも閲覧や教育目的であれば無料で利用できます。
Cisco ASA ファイアウォールラインがアプリケーションアウェアネスをどのように実践しているかを確認することができます。
最初のステップは、アプリを意識したポリシーにすることです。例えば、メッセージの投稿やゲームのプレイなど、特定のFacebookアプリの機能をブロックしたいが、グラフィティウォールの閲覧は許可する、といった具合です。
図2 Facebookのアプリケーション対応ポリシーの作成
図2の画面に表示されている内容から、アプリケーション対応ポリシーの作成を開始します。アプリ/サービス]ボックスで、まずFacebookに関するテキストを入力します。次に、キャンペーンやイベントなどの特定のコンテンツを含む、さまざまな事前構築済みのFacebook戦略テンプレートが表示されます。
図3 シンプルなスライダー・コントロールが可能にするフェイスブック戦略の多面性
この時点で、作成されたポリシーに注目しましょう。次に、図3を見てください。この図では、簡単なスライダーコントロールを使って、添付ファイルのアップロードやダウンロードを許可したり、誰のFacebookアカウントでも写真のアップロードをブロックしたりするなど、さまざまなポリシーを実装する方法を示しています。
次世代ファイアウォールによるこのようなアプリケーション指向ポリシーの設定は、旧世代のポート・プロトコル・アプローチに比べてはるかに簡単です。旧世代のファイアウォールでは、特定の動作をブロックまたは許可できることを確認する前に、ルールセットで多くの実験を行う必要があります。今日の次世代ファイアウォールの大半は、使いやすいグラフィカル・インターフェースで、デモされたCisco ASAと同様に動作します。
図4 ネットワーク全体のセキュリティ脆弱性を示す次世代ファイアウォールのコントロールパネル
図4は、次世代ファイアウォールのコントロール・パネルで、サンプル・ネットワークで確認されたさまざまなセキュリティの脆弱性を明確に示しています。
アプリケーション固有のポリシーを作成することで、そのネットワークを通じて何を許可またはブロックするかを理解することは、あなたの責任です。また、ポリシーを一貫して適用し、企業固有の基準や慣行を満たすことができるように、人事部やその他の部署と調整する必要があります。
