Newsletter
ナビゲーション
 
ファイアウォールのタイプ

ファイアウォールのタイプ


  • パケットフィルタリング
    • パケットフィルタリングまたはネットワーク層(レイヤ3)のファイアウォールは、IPパケットの送信元および宛先のアドレスとポートに基づいて決定を下します。ファイアウォール保護のこの基本的な形は、実のところ単純なソートアルゴリズムに過ぎません。一般的に、これらはアクセスリストを使用して、コントロールを可能にします。パケットフィルタリングはまた、多くの場合、ルータなどの他のネットワークデバイスによって実行され、無料のファイアウォールソフトウェアをダウンロードする際に普通に取得できるものです。
    • パケットフィルタリングは、小規模ネットワークに適していますが、大規模なネットワークに適用した場合、またたく間に、設定が著しく複雑かつ困難になることがあります。パケットフィルタリングは、コンテンツベースのフィルタリングには使用することができず、例えば、電子メールの添付ファイルを削除することはできません。このタイプのファイアウォールは、攻撃を受けていた場合見つけ出すことが難しく、記録機能がほとんどないか、または全くありません。

  • プロキシ
    • より高機能なプロキシまたはアプリケーション層のファイアウォールでは、全てのパケットが、アプリケーションレベルでデータを調べる個別の「プロキシ」アプリケーションを通過することにより、ネットワークトラフィックに対応しています。
    • プロキシファイアウォールは、お手元のネットワークとインターネットのあいだの直接接続を許可していません。その代わりに、リクエストを受け付け、ユーザーに代わってそれらを実行します。もしプロキシファイアウォールに守られているときにhttp://www.blackbox.comを入力すると、リクエストがファイアウォールに届き、お客様に代わってページを取得してお渡しします。このプロセスは、ユーザーに対して透過的です。
    • このプロキシシステムにより、アドレス、ポート情報、アプリケーション情報に基づいて、パケットを受け入れるか拒否するように、ファイアウォールを設定することができます。たとえば、ウイルスやワームにしばしば感染しているEXEファイルに属する、全ての着信パケットをフィルタリングするように、ファイアウォールを設定することができます。プロキシファイアウォールは、一般的に、パケットのデータ部分に関する情報を含む、非常に詳細なログを保持しています。
    • プロキシファイアウォールはより遅く、パケットフィルタリングよりも多くのハードウェアを必要とします。しかし、これらの大きな汎用性により、より厳しいセキュリティポリシーを実施することができます。

  • ステートフルインスペクション
    • ファイアウォールがステートフルインスペクションである旨が記載されている場合、パケットフィルタリングと同じようにネットワーク層でパケットを調べることを意味しますが、単にこの情報にシンプルなフィルタリングルールを適用するだけではなく、知的な方法で不正なトラフィックをブロックするためにこの情報を使用しています。これにより、接続要求が適切な順序で発生することを担保するため、データを分析します。このファイアウォールは、開始から終了までの各通信セッションを追跡し、プロトコル、ポート、および送信元アドレスと宛先アドレスに基づいて、一連のルールを適用します。全てのセッションデータを保持することにより、ファイアウォールは、新しい着信パケットが、許可されたトラフィックの基準を満たしていることを、すぐに確認することができます。許可されたセッションの一部ではないパケットは拒否されます。
    • ステートフルインスペクションファイアウォールは、スマートかつ高速という、2つの長所を有しています。

  • ハイブリッド
    • パケットベースのプロキシとステートフルインスペクションは、以前は明確に異なるタイプのファイアウォールでしたが、今日、ほぼすべての最新ファイアウォールアプライアンスは、パケットベースのプロキシとステートフルインスペクションのファイアウォールを提供するハイブリッドになっています。

  • To find out more information on this topic and more, visit our section on Network Security

Share |