境界ファイアウォールのしくみ
境界ファイアウォールは、プライベート ネットワークの境界に配置され、悪意のあるトラフィックがその境界を越えるのを防ぎます。 これは、いくつかの 1 つである可能性があります ファイアウォールの種類 次のようなさまざまな機能を備えています。
- パケットフィルタリング: パケットフィルタリングファイアウォールは、最も単純なタイプのファイアウォールです。 ネットワークパケットの内容を検査し、アクセス制御リスト(ACL)に基づいて許可またはブロックします。 パケットフィルタリングファイアウォールは、パケットの送信元ポートと宛先ポートに基づいて、特定の種類のトラフィックがプライベートネットワークに出入りするのを防ぐことができます。
- ステートフルファイアウォール: ステートフル パケット インスペクション ファイアウォールは、ネットワーク接続の現在の状態を追跡し、この情報をアクセスの決定に組み込みます。 ステートフル ファイアウォールは、ACK パケットが順不同で受信されるという事実に基づいて ACK スキャンを識別できますが、パケット フィルタリング ファイアウォールは識別できません。
- プロキシファイアウォール: プロキシ ファイアウォールは、ユーザー接続のプロキシとして機能し、ユーザーとファイアウォール、およびサーバーとファイアウォールの間に個別の接続を作成します。 これにより、ユーザーのIPアドレスを隠すことでユーザーのプライバシーを保護できます。
- 次世代ファイアウォール (NGFWs): NGFWは、パケットフィルタリングとステートフルファイアウォールの機能を他のセキュリティ機能と組み合わせたものです。 NGFWはディープパケットインスペクション(DPI)を実行し、侵入検知/防止システム、URLフィルタリング、ウイルス対策およびマルウェア対策機能を組み込むことができます。
ネットワーク境界のコンポーネント
境界ファイアウォールはネットワーク境界の一部であり、次の主要コンポーネントが含まれます。
- 境界ルータ: 境界ルータは、プライベートネットワークが終了し、パブリックインターネットが開始される場所です。 これは、組織の管理下にある最後のルーターであり、内部ネットワークと外部ネットワークの両方に物理的に接続されています。
- 境界ファイアウォール: 境界ファイアウォールは境界ルーターの背後にあり、外部の脅威に対する組織の防御の最前線です。 悪意のあるトラフィックがプライベートネットワークに入る前にフィルタリングします。
- 侵入検知/防止システム: ひとつの 侵入検知システム (IDS)は、パッシブな監視を提供し、脅威が検出された場合にアラートを生成します。 ひとつの 侵入防止システム (IPS)は、悪意のあるトラフィックをブロックし、アクティブな保護を提供します。
- 非武装地帯(DMZ): A DMZ は、パブリックネットワークとプライベートネットワークの間に位置するネットワークセグメントです。 これは、プライベートネットワークを潜在的な脅威から分離しながら、Webサーバーや電子メールサーバーなどのパブリックアクセス可能なサービスをホストするように設計されています。
境界ファイアウォールのセキュリティ要件
境界ファイアウォールは、次の機能で組織とそのユーザーを保護する必要があります。
- Webアプリケーションおよびデータ・コントロール: 境界ファイアウォールは、信頼されたリソースと信頼されていないリソースの両方への安全で正当なアクセスをユーザーに提供する必要があります。 これには、Webベースの攻撃、脆弱性の悪用、企業データに対する脅威に対する保護が含まれます。
- 高度な脅威対策: 境界ファイアウォールは、組織に対する既知および未知の脅威の両方を識別してブロックできる必要があります。 これには、脅威インテリジェンスとサンドボックス分析機能を備えたNGFWが必要です。
境界ファイアウォールのネットワーク要件
境界ファイアウォールは、ネットワークアプライアンスであると同時にセキュリティアプライアンスでもあります。 主なネットワーク要件には、次のようなものがあります。
- 冗長性: プライベート ネットワークに出入りするすべてのトラフィックは境界ファイアウォールを通過するため、停止すると接続やセキュリティが失われる可能性があります。 1 つのコンポーネントが失われてもシステムがダウンしないように、冗長にする必要があります。
- Performance: すべての受信トラフィックと送信トラフィックはファイアウォールを通過するため、非効率性と遅延は組織に大きな影響を与えます。 境界ファイアウォールは、回線速度でトラフィックを検査できる必要があります。
- ネットワークインターフェイスとポート容量: 境界ファイアウォールは、パブリック インターネットとプライベート ネットワークの両方に直接接続されています。 これらの接続と、それらの接続を流れるトラフィックをサポートするのに十分なネットワーク インターフェイスとポート容量が必要です。
強力な境界ファイアウォール セキュリティの利点と制限
境界ファイアウォールは、パブリック ネットワークとプライベート ネットワークの間の境界を定義して適用します。 境界ファイアウォールには、組織全体のセキュリティ体制に対する利点と制限の両方があります。
境界ファイアウォールが提供する利点には、次のようなものがあります。
- ネットワークトラフィックの可視性: 境界ファイアウォールは、プライベート ネットワークに出入りするすべてのトラフィックを可視化します。 これにより、企業のセキュリティが実現するだけでなく、内部および外部サービスの使用に関する貴重な情報も提供されます。
- 悪意のあるコンテンツのフィルタリング: 境界ファイアウォールとして展開されたNGFWは、マルウェアやその他の攻撃が組織のネットワークに侵入するのを特定してブロックできます。
- ユーザープライバシーの向上: 境界ファイアウォールは、内部ユーザーと外部サーバー間のプロキシとして機能することで、ユーザーのプライバシーを強化できます。
- データ漏洩防止: 境界ファイアウォールは、会社のポリシーに準拠していないトラフィックを特定してブロックすることで、機密性の高い貴重なデータの損失を防ぐのに役立ちます。
境界ファイアウォールには利点がありますが、完璧なソリューションではありません。 制限には次のようなものがあります。
- North-South トラフィックの可視性のみ: 境界ファイアウォールは、ネットワークに出入りするトラフィックを含む、境界ファイアウォールを通過するトラフィックのみを検査できます。 保護されたネットワーク内の East-West トラフィックは境界を通過せず、検査されません。
- インサイダー脅威管理なし: 境界ファイアウォールは、外部の脅威が企業ネットワークにアクセスするのをブロックします。 彼らは、すでに保護された境界内にいるインサイダーの脅威に気づいていません。
- 感染したモバイルデバイスに気づかない: 境界ファイアウォールは、ネットワーク経由でプライベート ネットワークに侵入するマルウェアのみを検出できます。 外部ネットワークに接続したときに感染し、プライベート ネットワークに接続したモバイル デバイスは、境界防御をバイパスします。
データセンターのファイアウォールと境界ファイアウォール
データセンターのファイアウォール 境界ファイアウォールは、どちらも組織の資産を保護するように設計されています。 ただし、境界ファイアウォールとは異なり、データセンター ファイアウォールは、組織のデータ センター内でホストされている仮想マシンを保護するように設計されています。 これには、仮想化環境で一般的なアーキテクチャの変更に対応するための俊敏性の向上が含まれます。
Perimeter Firewall with チェック・ポイント
境界ファイアウォールは、組織のネットワークセキュリティの基盤です。 ファイアウォールで何を探すべきかについての詳細は、こちらをご覧ください NGFWのバイヤーズガイド.そうしたら 無料デモに申し込む の チェック・ポイントのNGFW 最新のNGFWが組織の境界防御をどのように改善できるかをご覧ください。
Feedback