ステートフルファイアウォールとは

ステートフルファイアウォールの仕組み

コンピュータは、明確に定義されたプロトコルを使用して、ローカルネットワークとインターネットを介して通信します

これらには、TCPやUDPなどの低層トランスポートプロトコルと、HTTPやFTPなどの高層アプリケーション層プロトコルが含まれます。

ステートフルファイアウォールは、ネットワークパケットを検査し、ネットワーク接続で使用されているプロトコルについてわかっていることを使用して接続の状態を追跡します。 たとえば、TCPは接続指向のプロトコルであり、パケット配信を確実にするためのエラーチェックを行います。

クライアントとサーバー間のTCP接続は、まず3ウェイハンドシェイクで開始され、接続が確立されます。 1 つのパケットは、パケットに SYN (同期) フラグが設定されたクライアントから送信されます。 パケットを受信したサーバは、これが接続を確立しようとしていることを認識し、SYNおよびACK(確認応答)フラグが設定されたパケットで応答します。 クライアントは、このパケットを受信すると、ACK で応答し、接続を介した通信を開始します。

これは、他のプロトコルがデータの送信や通信に使用する接続の開始です。

たとえば、クライアントのブラウザは、確立されたTCP接続を使用してWebプロトコルであるHTTP GETを伝送し、Webページのコンテンツを取得できます。

接続が確立されると、状態が確立されていると言われます。 接続の最後に、クライアントとサーバーは、FIN(終了)などのプロトコルのフラグを使用して接続を切断します。 接続の状態がオープンから確立に変わると、ステートフル ファイアウォールは状態とコンテキスト情報をテーブルに格納し、通信の進行に合わせてこの情報を動的に更新します。 状態テーブルに格納された情報は、将来の接続の評価に使用できる累積データを提供します。

UDP などのステートレス プロトコルの場合、ステートフル ファイアウォールは、プロトコル自体に存在しないコンテキスト データを作成して保存します。 これにより、ファイアウォールは、クライアントとサーバーアプリケーション間の各要求パケットと応答パケットを個別の通信として扱うのではなく、UDP接続上で仮想接続を追跡できます。

FTP の例

FTP セッションは複数の接続を使用します。 1 つはコマンド接続で、もう 1 つはデータが通過するデータ接続です。

Stateful firewalls examine the FTP command connection for requests from the client to the server. For instance, the client may create a data connection using an FTP PORT command. This packet contains the port number of the data connection, which a stateful firewall will extract and save in a table along with the client and server IP addresses and server port.4

データ接続が確立されると、この接続テーブルに含まれる IP アドレスとポートを使用する必要があります。 ステートフル ファイアウォールは、このデータを使用して、FTP データ接続の試行が有効な要求に応答していることを確認します。 接続が閉じられると、レコードはテーブルから削除され、ポートはブロックされ、不正なトラフィックが防止されます。

チェック・ポイント付きステートフルファイアウォール

チェック・ポイント・ステートフル・ファイアウォールは、オペレーティング・システム・カーネルのネットワーク・スタックに統合されています。 これは、物理ネットワーク インターフェイス カード (レイヤー 2) とネットワーク プロトコル スタックの最下位レイヤー (通常は IP) の間の最下位のソフトウェア レイヤーにあります。

チェック・ポイントのステートフル・ファイアウォールは、システムのネットワーク・スタックの物理コンポーネントとソフトウェア・コンポーネントの間に挿入することで、システムに出入りするすべてのトラフィックを完全に可視化します。 パケットがネットワーク・セキュリティー・アクセス制御ポリシーに準拠していることを ファイアウォール が最初に確認するまで、パケットは上位のプロトコル・スタック・レイヤーによって処理されません。

チェック・ポイント ステートフル ファイアウォールには、次のような多くの貴重な利点があります。

• 拡張： チェック・ポイントのステートフル インスペクションの実装は、他のどのファイアウォール ベンダーよりも多くの、何百もの事前定義されたアプリケーション、サービス、プロトコルをサポートしています。
• Performance: チェック・ポイント・ファイアウォールのシンプルで効果的な設計は、オペレーティング・システム・カーネル内で実行することで最適なパフォーマンスを実現します。 これにより、処理のオーバーヘッドが削減され、コンテキストの切り替えが不要になります。 さらに、キャッシュテーブルとハッシュテーブルを使用して、データを効率的に格納し、アクセスします。 最後に、ファイアウォールのパケットインスペクションは、最新のネットワークインターフェイス、CPU、およびOS設計を最適に活用できるように最適化されています。
• スケーラブル： ハイパースケールとは、一言で言えば、システムへの需要の増加に応じて拡張できるテクノロジーアーキテクチャの能力です。 チェック・ポイント Maestroは、チェック・ポイントHyperSyncテクノロジーに基づく効果的なN+1クラスタリングにより、オンプレミスのクラウドの俊敏性、スケーラビリティ、弾力性をもたらし、既存のファイアウォールの機能を最大化します。 さまざまなチェック・ポイント・ファイアウォールをスタックして、クラスタにファイアウォールを追加するたびに、ほぼ直線的なパフォーマンス向上を実現できます。

Check Point’s next-generation firewalls (NGFW)は、ステートフルファイアウォールの機能を他の重要なネットワークセキュリティ機能と統合します。 NGFWで何を探すべきかについての詳細は、以下をご覧ください。 このバイヤーズガイド.あなたも大歓迎です 無料デモをお申し込みください チェック・ポイントのNGFWの動作をご覧ください。