ファイアウォールの基本的な機能、つまりネットワークをマルウェアや不正アクセスから保護することは誰もが理解しています。しかし、ファイアウォールがどのように機能するかの正確な詳細はあまり知られていません。
ファイアウォール とは正確には何ですか?さまざまな種類のファイアウォールはどのように機能しますか?そしておそらく最も重要なのは、どのタイプのファイアウォールが最適でしょうか?
ファイアウォール 101
簡単に言えば、ファイアウォールは単なるネットワーク エンドポイントの 1 つです。この機能の特徴は、受信トラフィックが内部ネットワークに入る前に傍受してスキャンし、悪意のある攻撃者によるアクセスをブロックする機能です。
各接続の認証の検証、ハッカーからの宛先 IP の隠蔽、さらには各データ パケットの内容のスキャンなど、ファイアウォールがすべてを行います。ファイアウォールは一種のチェックポイントとして機能し、侵入される通信の種類を注意深く制御します。
パケット フィルタリング ファイアウォール
パケット フィルタリング ファイアウォールは、最もシンプルでリソースの消費量が最も少ないファイアウォール テクノロジーです。最近ではあまり使われなくなりましたが、古いコンピュータではネットワーク保護の定番でした。
パケット フィルタリング ファイアウォールはパケット レベルで動作し、ネットワーク ルーターから受信する各パケットをスキャンします。ただし、実際にはデータ パケットの内容はスキャンされず、ヘッダーのみがスキャンされます。これにより、ファイアウォールは送信元アドレスと宛先アドレス、ポート 番号などのメタデータを検証できるようになります。
ご想像のとおり、このタイプのファイアウォールはあまり効果的ではありません。パケット フィルタリング ファイアウォールができることは、アクセス コントロール リストに従って不要なネットワーク トラフィックを削減することだけです。パケットの内容自体はチェックされないため、マルウェアは依然として通過する可能性があります。
回線レベルのゲートウェイ
ネットワーク接続の正当性を検証するリソース効率の高いもう 1 つの方法は、回線レベルのゲートウェイです。回線レベルのゲートウェイは、個々のデータ パケットのヘッダーをチェックする代わりに、セッション自体を検証します。
繰り返しになりますが、このようなファイアウォールは送信内容自体を通過しないため、多数の悪意のある攻撃に対して脆弱なままになります。そうは言っても、OSI モデルのセッション層からの伝送制御プロトコル (TCP) 接続の検証にはリソースがほとんどかからず、望ましくないネットワーク接続を効果的にシャットダウンできます。.
これが、ほとんどのネットワーク セキュリティ ソリューション、特にソフトウェア ファイアウォールに回線レベルのゲートウェイが組み込まれることが多い理由です。これらのゲートウェイは、セッションごとに仮想接続を作成することで、ユーザーの IP アドレスをマスクするのにも役立ちます。
ステートフル インスペクション ファイアウォール
パケット フィルタリング ファイアウォールとサーキット レベル ゲートウェイはどちらもステートレス ファイアウォール実装です。これは、それらが静的なルールセットに基づいて動作し、その有効性が制限されることを意味します。すべてのパケット (またはセッション) は個別に処理されるため、非常に基本的なチェックのみを実行できます。
一方、ステートフル インスペクション ファイアウォールは、接続の状態と、接続を介して送信されるすべてのパケットの詳細を追跡します。接続中に TCP ハンドシェイクを監視することで、ステートフル インスペクション ファイアウォールは送信元と宛先の IP アドレスとポート番号を含むテーブルを作成し、受信パケットをこの動的ルールセットと照合できます。
このおかげで、悪意のあるデータ パケットがステートフル インスペクション ファイアウォールを通過して侵入することは困難になります。その反面、この種のファイアウォールはリソース コストが高くつくため、パフォーマンスが低下し、ハッカーがシステムに対して分散型サービス拒否 (DDoS) 攻撃を使用する機会が生じます。
プロキシ ファイアウォール
アプリケーション レベル ゲートウェイとして知られるプロキシ ファイアウォールは、OSI モデルの前面層、つまりアプリケーション層で動作します。この層は、ユーザーをネットワークから分離する最後の層として、パフォーマンスを犠牲にして、最も徹底的でコストのかかるデータ パケットのチェックを可能にします。
サーキットレベルのゲートウェイと同様に、プロキシ ファイアウォールはホストとクライアントの間を仲介して、宛先ポートの内部 IP アドレスを難読化することによって機能します。さらに、アプリケーション レベルのゲートウェイはディープ パケット インスペクションを実行して、悪意のあるトラフィックが通過できないことを確認します。
これらの対策はすべてネットワークのセキュリティを大幅に強化しますが、受信トラフィックの速度も低下させます。このようなステートフル ファイアウォールによって実行されるリソースを大量に消費するチェックにより、ネットワーク パフォーマンスが低下するため、パフォーマンスを重視するアプリケーションには適していません。.
NAT ファイアウォール
多くのコンピューティング設定において、サイバーセキュリティの重要な要は、プライベート ネットワークを確保し、クライアント デバイスの個々の IP アドレスをハッカーとサービス プロバイダーの両方から隠すことです。すでに見たように、これはプロキシ ファイアウォールまたはサーキット レベルのゲートウェイを使用して実現できます。
IP アドレスを隠すもっと簡単な方法は、ネットワーク アドレス変換 (NAT) ファイアウォールを使用することです。 NAT ファイアウォールは機能するために多くのシステム リソースを必要としないため、サーバーと内部ネットワーク間の頼りになります。
ウェブ アプリケーション ファイアウォール
プロキシ ファイアウォール、さらには Web アプリケーション ファイアウォール (WAF) など、アプリケーション層で動作するネットワーク ファイアウォールのみがデータ パケットのディープ スキャンを実行できます。
ネットワークまたはホスト内から動作する WAF は、さまざまな Web アプリケーションによって送信されるすべてのデータを検査し、悪意のあるコードが通過しないことを確認します。このタイプのファイアウォール アーキテクチャはパケット検査に特化しており、表面レベルのファイアウォールよりも優れたセキュリティを提供します。
クラウド ファイアウォール
従来のファイアウォールは、ハードウェア ファイアウォールとソフトウェアの両方で、適切に拡張できません。これらは、高トラフィックのパフォーマンスに重点を置くか、低ネットワーク トラフィックのセキュリティに重点を置くか、システムのニーズを念頭に置いてインストールする必要があります。
しかし、クラウド ファイアウォールははるかに柔軟です。プロキシ サーバーとしてクラウドから導入されるこのタイプのファイアウォールは、ネットワーク トラフィックが内部ネットワークに入る前にインターセプトし、各セッションを許可し、各データ パケットを通過させる前に検証します。
最も優れている点は、このようなファイアウォールの容量を必要に応じてスケールアップおよびスケールダウンでき、さまざまなレベルの受信トラフィックに合わせて調整できることです。クラウドベースのサービスとして提供されるため、ハードウェアは必要なく、サービス プロバイダー自体によって保守されます。
次世代ファイアウォール
次世代という言葉は誤解を招く可能性があります。テクノロジーベースの業界は皆、このような流行語をよく使いますが、これは実際には何を意味するのでしょうか?どのタイプの機能がファイアウォールを次世代とみなされますか?
実のところ、厳密な定義はありません。一般に、さまざまなタイプのファイアウォールを単一の効率的なセキュリティ システムに組み合わせたソリューションが、次世代ファイアウォール (NGFW) であると考えることができます。このようなファイアウォールは、詳細なパケット検査を行うと同時に DDoS 個の攻撃を回避し、ハッカーに対する多層防御を提供します。.
ほとんどの次世代ファイアウォールは、VPN 、侵入防止システム (IPS)、さらにはウイルス対策などの複数のネットワーク ソリューションを 1 つの強力なパッケージに組み合わせていることがよくあります。その考えは、あらゆる種類のネットワーク脆弱性に対処し、絶対的なネットワーク セキュリティを提供する完全なソリューションを提供することです。この目的のために、一部の NGFW は Secure Socket Layer (SSL) 通信も復号化できるため、暗号化された攻撃にも気づくことができます。
ネットワークを保護するにはどのタイプのファイアウォールが最適ですか?
ファイアウォールに関して重要なのは、ファイアウォールの種類が異なれば、ネットワークを保護する に対して異なるアプローチが使用されるということです。
最も単純なファイアウォールはセッションとパケットを認証するだけで、コンテンツについては何も行いません。ゲートウェイ ファイアウォールの目的は、仮想接続を作成し、プライベート IP アドレスへのアクセスを防止することです。ステートフル ファイアウォールは、TCP ハンドシェイクを通じて接続を追跡し、その情報を含む状態テーブルを構築します。
次に、上記のすべてのプロセスとディープ パケット インスペクションおよびその他の一連のネットワーク保護機能を組み合わせた次世代ファイアウォールがあります。 NGFW がシステムに可能な限り最高のセキュリティを提供することは明らかですが、それが常に正しい答えであるとは限りません。
ネットワークの複雑さと実行されているアプリケーションの種類によっては、最も一般的な攻撃から保護する、よりシンプルなソリューションをシステムに採用した方がよい場合もあります。最良のアイデアは、third-party Cloud ファイアウォール サービスを使用し、ファイアウォールの微調整と維持をサービス プロバイダーに任せることです。
.