8種類のファイアウォールの説明

マルウェアや不正アクセスからネットワークを保護するためのファイアウォールの基本機能は誰もが理解しています。しかし、ファイアウォールがどのように機能するかの正確な詳細はあまり知られていません。

ファイアウォール(firewall)とは正確には何ですか?さまざまな種類のファイアウォールはどのように機能しますか?そしておそらく最も重要なのは、どのタイプのファイアウォールが最適かということです。

ファイアウォール101

簡単(Simply)に言えば、ファイアウォールは単なる別のネットワークエンドポイントです。特別なのは、着信トラフィックが内部ネットワークに入る前に傍受してスキャンし、悪意のある攻撃者がアクセスするのをブロックする機能です。

各接続の認証を確認し、宛先IPをハッカーから隠し、さらに各データパケットの内容をスキャンすることで、ファイアウォールがすべてを実行します。ファイアウォールは一種のチェックポイントとして機能し、許可される通信の種類を注意深く制御します。

パケットフィルタリングファイアウォール

パケットフィルタリングファイアウォールは、最もシンプルでリソースをあまり消費しないファイアウォールテクノロジーです。最近は人気がありませんが、古いコンピューターのネットワーク保護の定番でした。

パケットフィルタリングファイアウォールはパケットレベルで動作し、ネットワークルーターからの各着信パケットをスキャンします。ただし、実際にはデータパケットの内容をスキャンするのではなく、ヘッダーのみをスキャンします。これにより、ファイアウォールは送信元アドレスと宛先アドレス、ポート番号などのメタデータを検証できます。

ご想像のとおり、このタイプのファイアウォールはあまり効果的ではありません。パケットフィルタリングファイアウォールでできることは、アクセス制御リストに従って不要なネットワークトラフィックを削減することだけです。パケットの内容自体はチェックされないため、マルウェアは引き続き通過できます。

サーキットレベルゲートウェイ

ネットワーク接続の正当性を検証するもう1つのリソース効率の高い方法は、回線レベルのゲートウェイです。個々のデータパケットのヘッダーをチェックする代わりに、回線レベルのゲートウェイがセッション自体を検証します。

繰り返しになりますが、このようなファイアウォールは送信自体の内容を通過しないため、悪意のある攻撃に対して脆弱なままになります。そうは言っても、 OSI(OSI)モデルのセッション層からの伝送制御プロトコル(Transmission Control Protocol)TCP )接続の検証は、リソースをほとんど必要とせず、望ましくないネットワーク接続を効果的にシャットダウンできます。

これが、回路レベルのゲートウェイがほとんどのネットワークセキュリティソリューション、特にソフトウェアファイアウォールに組み込まれていることが多い理由です。これらのゲートウェイは、セッションごとに仮想接続を作成することにより、ユーザーのIPアドレスをマスクするのにも役立ちます。

ステートフルインスペクションファイアウォール

パケットフィルタリングファイアウォール(Packet-Filtering Firewall)回路レベルゲートウェイ(Circuit Level Gateway)はどちらもステートレスファイアウォールの実装です。これは、それらが静的ルールセットで動作し、その有効性を制限することを意味します。すべてのパケット(またはセッション)は個別に処理されるため、非常に基本的なチェックのみを実行できます。

 一方、ステートフルインスペクションファイアウォール(Inspection Firewall)は、接続の状態と、それを介して送信されるすべてのパケットの詳細を追跡します。接続中にTCP(TCP)ハンドシェイクを監視することにより、ステートフルインスペクションファイアウォールは、送信元と宛先のIPアドレスとポート番号を含むテーブルをコンパイルし、着信パケットをこの動的ルールセットと照合できます。

このおかげで、ステートフルインスペクションファイアウォールを通過して悪意のあるデータパケットを忍び込むことは困難です。反対に、この種のファイアウォールはリソースコストが高く、パフォーマンスが低下し、ハッカーがシステムに対して分散型サービス拒否(Denial-of-Service)DDoS)攻撃を使用する機会を生み出します。

プロキシファイアウォール

(Better)アプリケーションレベルゲートウェイ(Application Level Gateways)としてよく知られているプロキシファイアウォールは、 (Proxy Firewalls)OSIモデルの前面層であるアプリケーション層で動作します。ユーザーをネットワークから分離する最後のレイヤーとして、このレイヤーは、パフォーマンスを犠牲にして、データパケットの最も徹底的でコストのかかるチェックを可能にします。

回線レベルのゲートウェイ(Circuit-Level Gateways)と同様に、プロキシファイアウォール(Proxy Firewalls)は、ホストとクライアントの間に介入し、宛先ポートの内部IPアドレスを難読化することによって機能します。さらに、アプリケーションレベルゲートウェイはディープパケットインスペクションを実行して、悪意のあるトラフィックが通過できないことを確認します。

これらの対策はすべて、ネットワークのセキュリティを大幅に向上させますが、着信トラフィックの速度も低下させます。このようなステートフルファイアウォールによって実行されるリソースを大量に消費するチェックが原因で ネットワークパフォーマンスが低下し、パフォーマンスに敏感なアプリケーションには適していません。(Network)

NATファイアウォール

多くのコンピューティング設定では、サイバーセキュリティの重要な要は、プライベートネットワークを確保し、ハッカーとサービスプロバイダーの両方からクライアントデバイスの個々のIPアドレスを隠すことです。すでに見てきたように、これはプロキシ(Proxy)ファイアウォールまたは回線レベルのゲートウェイを使用して実現できます。

IPアドレスを非表示にするはるかに簡単な方法は、ネットワークアドレス変換(Network Address Translation)NATファイアウォール(Firewall)を使用することです。NATファイアウォールは、機能するために多くのシステムリソースを必要としないため、サーバーと内部ネットワークの間で頼りになります。

Webアプリケーションファイアウォール

アプリケーション層で動作するネットワークファイアウォール(Network Firewalls)のみが、プロキシファイアウォール(Proxy Firewall)、さらにはWebアプリケーションファイアウォール(Web Application Firewall)WAF )のように、データパケットのディープスキャンを実行できます。

WAFは、ネットワークまたはホスト内から動作し、さまざまなWebアプリケーションによって送信されたすべてのデータを通過し、悪意のあるコードが通過しないようにします。このタイプのファイアウォールアーキテクチャは、パケットインスペクションに特化しており、表面レベルのファイアウォールよりも優れたセキュリティを提供します。

クラウドファイアウォール

従来のファイアウォールは、ハードウェアファイアウォールとソフトウェアの両方であり、拡張性が高くありません。これらは、高トラフィックパフォーマンスまたは低ネットワークトラフィックセキュリティのいずれかに焦点を合わせて、システムのニーズを念頭に置いてインストールする必要があります。

しかし、クラウドファイアウォール(Cloud Firewalls)ははるかに柔軟性があります。クラウドからプロキシサーバーとして展開されるこのタイプのファイアウォールは、ネットワークトラフィックが内部ネットワークに入る前にインターセプトし、各セッションを承認し、各データパケットを検証してから入れます。

最良の部分は、そのようなファイアウォールは、必要に応じて容量を拡大および縮小し、さまざまなレベルの着信トラフィックに合わせて調整できることです。クラウドベースのサービスとして提供され、ハードウェアを必要とせず、サービスプロバイダー自体によって維持されます。

次世代ファイアウォール

次世代は誤解を招く用語になる可能性があります。すべての技術ベースの業界は、このような流行語を投げかけるのが大好きですが、それは本当にどういう意味ですか?どのタイプの機能がファイアウォールを次世代と見なす資格がありますか?

実際、厳密な定義はありません。一般に、さまざまな種類のファイアウォールを1つの効率的なセキュリティシステムに組み合わせたソリューションを次世代ファイアウォール(Next-Generation Firewall)NGFW)と見なすことができます。このようなファイアウォールは、 DDoS(DDoS)攻撃を回避しながら、ディープパケットインスペクションが可能であり、ハッカーに対する多層防御を提供します。

ほとんどの次世代ファイアウォールは、VPN(VPNs)侵入防止システム(Intrusion Prevention Systems)IPS)、さらにはウイルス対策などの複数のネットワークソリューションを1つの強力なパッケージに統合することがよくあります。アイデアは、あらゆるタイプのネットワークの脆弱性に対処し、絶対的なネットワークセキュリティを提供する完全なソリューションを提供することです。この目的のために、一部のNGFWは(NGFWs)Secure Socket LayerSSL )通信も復号化できるため、暗号化された攻撃にも気付くことができます。

ネットワーク(Your Network)を保護するのに最適なファイアウォールの(Firewall)タイプ(Type)はどれですか?

ファイアウォールについてのことは、ファイアウォールの種類が異なれば、ネットワークを保護するために(protect a network)さまざまなアプローチを使用するということです。

最も単純なファイアウォールは、セッションとパケットを認証するだけで、コンテンツには何もしません。ゲートウェイ(Gateway)ファイアウォールとは、仮想接続を作成し、プライベートIPアドレスへのアクセスを防ぐことです。ステートフルファイアウォールは、 (Stateful)TCPハンドシェイクを介して接続を追跡し、情報を使用して状態テーブルを構築します。

次に、次世代(Next-Generation)ファイアウォールがあります。これは、上記のすべてのプロセスをディープパケットインスペクションおよびその他のネットワーク保護機能と組み合わせたものです。NGFWがシステムに可能な限り最高のセキュリティを提供すると言うのは明らかですが、それが常に正しい答えであるとは限りません。

ネットワークの複雑さと実行されているアプリケーションの種類によっては、代わりに最も一般的な攻撃から保護するより単純なソリューションを使用した方がシステムの方が適している場合があります。最良のアイデアは、サードパーティのクラウドファイアウォール(third-party Cloud firewall)サービスを使用して、ファイアウォールの微調整と維持をサービスプロバイダーにオフロードすることです。



About the author

私は 10 年以上の経験と Android デバイスでの作業経験を持つコンピューター技術者です。また、過去 5 年間オフィスで働いており、Office 365 と MacOS の使い方を学びました。余暇には、屋外で音楽を演奏したり、映画を見たりするのを楽しんでいます。



Related posts