Fortinet商品など
ファイアウォールのポートについて
ファイアウォールのポート(Port)は、ネットワーク通信を制御するうえで中心的な役割を担う要素です。
ポートは単独で存在する概念ではなく、IPアドレス・プロトコル・通信方向と組み合わさって意味を持ちます。
ポートの基本的な役割
ポートとは、1台のコンピュータの中で通信先アプリケーションを識別するための番号です。
- IPアドレス:どの機器か
- ポート番号:その機器のどのサービスか
例
203.0.113.10:443
203.0.113.10:Webサーバー443:HTTPS(暗号化されたWeb通信)
ポートはよく「建物(IP)の部屋番号(ポート)」に例えられ、同一IPでも複数のサービスを同時に提供できる理由がここにあります。
ファイアウォールとポート制御の関係
ファイアウォールは、主に以下の情報を組み合わせて通信可否を判断します。
- 送信元IPアドレス
- 宛先IPアドレス
- ポート番号
- プロトコル(TCP / UDP)
- 通信の向き(インバウンド / アウトバウンド)
- 通信状態(ステートフルFWの場合)
特に L3/L4レベルのファイアウォールでは、ポート制御が通信制御の中核になります。
ポート番号の範囲と公式な分類
ポート番号は 0〜65535 の範囲で定義され、IANAにより次の3つに分類されています。
ウェルノウンポート(0〜1023)
標準サービス向けに予約されているポート
| ポート | 主な用途 |
|---|---|
| 22 | SSH |
| 25 | SMTP |
| 53 | DNS |
| 80 | HTTP |
| 443 | HTTPS |
公開サーバーで使われることが多く、攻撃対象になりやすい
登録済みポート(1024〜49151)
特定アプリケーションや製品向けに登録されているポート
| ポート | 主な用途 |
|---|---|
| 3306 | MySQL |
| 5432 | PostgreSQL |
| 3389 | RDP |
| 8080 | HTTP代替(http-alt) |
業務システム・ミドルウェアで頻繁に利用される
動的/プライベートポート(49152〜65535)
IANA上は「Dynamic / Private」とされる範囲
重要な補足
- この範囲は IANAの分類であり
- 実際にOSがクライアント通信で使用するエフェメラルポート範囲はOS設定に依存します
つまり
「クライアントが必ず49152以上を使う」
ではありません。
ファイアウォール設計では“OS依存で動的に使われる送信元ポートが存在する”という理解が重要です。
TCPポートとUDPポートの違い
TCP(信頼性重視)
- 通信前後で確認を行う
- 順序保証・再送制御あり
- Web、メール、SSHなど
UDP(速度・軽量性重視)
- 通信確認なし
- 遅延が少ない
- DNS、音声通信、動画配信など
ファイアウォール設定では必ずTCP/UDPを明示する必要があります
同じポート番号でも、TCPとUDPは別物です。
インバウンド通信とアウトバウンド通信
インバウンド(外部 → 内部)
- 外部からサーバーへ到達する通信
- 最小限に制限するのが原則
例
- 80 / 443:許可
- 22:特定IPのみ許可
- それ以外:原則拒否
アウトバウンド(内部 → 外部)
- 内部端末・サーバーから外部への通信
- 従来は比較的緩い運用が多かったが、
近年はセキュリティ強化のため制限されるケースも増加
マルウェアの外部通信対策として重要視されている
「ポート開放」という言葉の正確な理解
一般に使われる「ポート開放」という表現は、環境によって意味が異なります。
- 企業ネットワーク・クラウド
→ ファイアウォールで通信を許可すること - 家庭用ルータ
→ NATのポートフォワーディング設定を含む場合が多い
したがって「ポート開放=FW許可」とは文脈依存であり、実務では FW設定+NAT設定の両方を確認する必要があります。
ポート開放時の原則
ポートを開けることは、そのポートを外部に晒すことを意味します。
基本原則
- 必要なポートのみ
- 必要な相手(IP)からのみ
- 必要な期間のみ
「とりあえず開ける」は最大のリスク
ポートスキャンとセキュリティの関係
攻撃者は多くの場合、
- ポートスキャン
- 開放ポートの特定
- 脆弱なサービスの探索
という流れで侵入点を探します。
不要なポートを閉じるだけで攻撃面は大幅に減少します。
DROP と REJECT の違い(一般的な考え方)
- DROP:通信を黙って破棄(応答しない)
- REJECT:拒否応答を返す(ICMPやTCP RST等)
※ 実際の挙動はFW製品・設定・プロトコルにより異なります。
まとめ
- ポートは通信サービスを識別する番号
- ファイアウォールではIP・ポート・プロトコルの組み合わせが重要
- ポート番号の分類はIANA基準だが、OS実装は別
- TCP/UDPは必ず区別する
- 「ポート開放」は文脈に注意
- 不要なポートは閉じるのが基本中の基本
以上、ファイアウォールのポートについてでした。
最後までお読みいただき、ありがとうございました。
商品カテゴリから探す
「安心のセキュリティをお得な価格」でご提供!
Fortinet商品など
受付時間 / 9:00~17:00 定休日 / 土・日・祝
【大阪本社】
〒531-0072
大阪市北区豊崎3-19-3
ピアスタワー6階
電話番号:06-6359-5533
FAX番号:06-6359-5534
【東京支店】
〒104-0032
東京都中央区八丁堀3-25-8
八丁堀陽光ビル3階A
電話番号:03-6823-1313
【福岡支店】
〒812-0038
福岡市博多区祇園町8-13
第一プリンスビル1階
(Zero-Ten Park キャナルシティ博多前)
電話番号:092-600-1222
