覚えておくべき4種のファイアウォール

ファイアウォールのタイプ

ファイアウォールには以下の４種類があります。

• スタティックパケットフィルタリング
• ダイナミックパケットフィルタリング
• ステートフルパケットインスペクション
• アプリケーション型（プロキシ型）

このうち、上の３種類を「パケットフィルタリング型」とひとくくりにして、 アプリケーション型と対比させる分類方法もあります。

パケットフィルタリング型の３種類

パケットとは本来小包のことで、インターネット上ではデータをパケットという小さな単位に分けてやりとりします。

パケットフィルタリング型ファイアウォールは、インターネット上でやりとりされるパケットを検査します。 パケットが、ファイアウォールにあらかじめ設定されているルールにより「通信不可」と判断されると、 パケットをドロップ（暗黙の破棄）するか、または拒否（廃棄してパケットの送信元にエラー応答を送信）します。

スタティックパケットフィルタリング

パケットにはヘッダという、データの送信元や宛先などの情報が記録された部分があります。 スタティックパケットフィルタリングのファイアウォールは、 主にパケットのヘッダを参照して、アクセスの許可や禁止を決定します。

一般的には、パケットの送信元アドレス、宛先アドレス、通信に使用するプロトコル、 TCPおよびUDPトラフィック、ポート番号を参照します。

これは単純な仕組みで成り立っていて、パケットの中身を細かく確認するわけではないので、高速処理が可能です。

その反面、中身を検査しないので、偽装されたパケットを検出することはできません。

また、アプリケーション固有の脆弱性や機能を利用した攻撃を防ぐことができず、 高度な認証もサポートされていません。

ダイナミックパケットフィルタリング

ダイナミックなパケットフィルタの場合、クライアントとサーバーのやりとりをファイアウォールが記憶し、 動的にポートを開け閉めします。

例えば、スタティックなパケットフィルタの場合、外部と内部の双方向通信を行うためには 外部→内部、内部→外部の双方の通信が明示的に許可されていなくてはなりません。

しかし、ダイナミックパケットフィルタリングの場合、 どちらか一方の通信が許可される場合、その通信への返信に限りその場でルールが作成され、通信が許可されます。

ステートフルパケットインスペクション

ダイナミックパケットフィルタリングの一種です。

このファイアウォールはコンテキストの中でパケットを判断します。 コンテキストとは、文脈という意味で、この場合はプログラムが処理内容を置かれた状態や状況、 与えられた条件から判断するという意味です。

ステートフルパケットインスペクションは、 コンテキストからパケットが正当な手順を踏んで送信されたものであるかどうかを見抜き、 不正な偽装パケットを検出することが可能です。

通常のパケットフィルタより高い防御を誇りますが、 全てのパケットやセッションの状態を管理する必要があることと、 Dos（サービス拒否）攻撃に弱いことが難点として挙げられます。

アプリケーション型（プロキシ型）

プロキシとは代理という意味で、ファイアウォールが内部コンピュータの代わりに外部サーバーにアクセスし、 やりとりした通信を内部に応答します。

内部ネットワークは直接外部と接触しなくて済むので、外部の攻撃から保護されます。

外部サーバーから見たパケットのやりとりの相手は、ファイアウォールマシンとなり、 内部ネットワークは完全に隠されます。

このタイプのファイアウォールは、パケットを全て参照するため、 ユーザー単位でのアクセス制限や、内容によるフィルタリングなど、細かい設定が可能となります。 反面、データの処理が多いため動作が遅くなるという難点があります。

会社の方針や組織体系、金額面などのバランスを考えた上で、 導入するべきファイアウォールの種類を決定しましょう。