通信の中身までチェックできる！アプリケーション型ファイアウォールとは

アプリケーション型ファイアウォールとは

アプリケーション型ファイアウォールは、 プロキシ型あるいはアプリケーションゲートウェイ型とも呼ばれます。

パケットフィルタリング型のファイアウォールは、 ネットワーク内部のクライアントと外部のサーバーとがやりとりする際、 そのやりとりをチェックして不正がないか監視・検出するものでした。 つまり、保護はされていますが、内部と外部は直接繋がっていたのです。

これに対しアプリケーション型ファイアウォールの場合、 ファイアウォールが内部ネットワークのコンピュータに代わり、 外部サーバーと接続し、その通信内容を内部へと送ります。 内部ネットワークのコンピュータは直接外部と接触することはないので、 外部の不正な攻撃から保護されます。

プロキシサーバーとは

インターネットのHTTP通信の際に利用されるプロキシサーバーが、このファイアウォールの代表例です。

内部ネットワークからクライアントがインターネットに接続する際、 プロキシサーバーがクライアントに代理してアクセスしてくれます。

外部サーバーから見れば、接続を求めてきたクライアントはプロキシサーバーということになり、 ネットワーク内部のクライアントは外部サーバーからは完全に隠されることになります。

これにより、もしインターネットの接続先から不正な攻撃を受けた場合、 プロキシサーバーが攻撃対象となり、クライアントＰＣが直接攻撃されるのを防ぐことができます。

アプリケーション型の長所

このタイプのファイアウォールは、 通信の中身まで完全にチェックが可能（アプリケーションデータの内容を確認できる）なため、 特定の通信に関してユーザー・アプリケーションを使ってアクセス制御を行うことができます。

たとえば、あらかじめ設定をしておけば、 送られてきたメールの本文に悪意のあるキーワードが多数挿入されていたり、 悪意あるサイトへのアドレスが掲載されている場合、 警告メッセージを宛先のユーザーに届けたり、廃棄することが可能です。

また、内部ネットワークのアクセス制御を行うこともできます。 企業や学校のネットワークなどで、閲覧不可にしたいサイトがある場合、 このファイアウォールに設定をすることで内部からのアクセスを制限できます。

このように、アプリケーション型のファイアウォールを設置することで、 内部ネットワークを保護すると共に精度の高い検査を実施することができ、 高いセキュリティを実現することができます。

アプリケーション型の短所

高いセキュリティを誇るアプリケーション型ですが、短所もあります。 検査対象の情報読み込み量が多いため、パケットフィルタリング型と比べると通信速度が遅くなってしまいます。

また、対応サービスが少ないことも短所として挙げられます。 アプリケーション型は特定のサービスに特化したファイアウォールなので、 基本的に一つのサービスに対して一つのファイアウォールが必要となります。

HTTPとFTPのように、性質上一つのファイアウォールでカバーできるサービスを除いて、 複数サービスに対応するアプリケーション型ファイアウォールを構成することは難しいのです。

また、アプリケーションデータ自体は正常であっても、 DoS攻撃として大量に送信されたデータの場合、防御が難しいことも挙げられます。

メールによる悪意のあるURLへの誘い出しも、完全に防ぎきれるわけではありません。 加えて、あまりファイアウォールのセキュリティポリシーが強すぎると、 悪質なソフトウェアを用いてファイアウォールで通信が許可されているプロトコルを探し出し、 トンネリング（ファイアウォールの検査を迂回する抜け道的利用）を行うユーザーを増やしてしまうという問題もあります。

他にも、アプリケーション型ファイアウォールにより通信の中身まで検査するのは、 通信の秘密に違反した検閲だという批判もあります。