ステートフルファイアウォールとは

ステートフルファイアウォールは、ネットワーク層でパケットを傍受し、すべての通信層からデータを導出して分析し、セキュリティを向上させます。 接続状態とその他のコンテキスト データに関する情報が保存され、動的に更新されます。 これは、将来の通信試行を評価する際の貴重なコンテキストを提供します。

Get a Personal Firewall Demo Miercom 2024 NGFW セキュリティ ベンチマーク

ステートフルファイアウォールの仕組み

コンピュータは、明確に定義されたプロトコルを使用して、ローカルネットワークとインターネットを介して通信します

これらには、TCPやUDPなどの低層トランスポートプロトコルと、HTTPやFTPなどの高層アプリケーション層プロトコルが含まれます。

ステートフルファイアウォールは、ネットワークパケットを検査し、ネットワーク接続で使用されているプロトコルについてわかっていることを使用して接続の状態を追跡します。 たとえば、TCPは接続指向のプロトコルであり、パケット配信を確実にするためのエラーチェックを行います。

クライアントとサーバー間のTCP接続は、まず3ウェイハンドシェイクで開始され、接続が確立されます。 1 つのパケットは、パケットに SYN (同期) フラグが設定されたクライアントから送信されます。 パケットを受信したサーバは、これが接続を確立しようとしていることを認識し、SYNおよびACK(確認応答)フラグが設定されたパケットで応答します。 クライアントは、このパケットを受信すると、ACK で応答し、接続を介した通信を開始します。

これは、他のプロトコルがデータの送信や通信に使用する接続の開始です。

たとえば、クライアントのブラウザは、確立されたTCP接続を使用してWebプロトコルであるHTTP GETを伝送し、Webページのコンテンツを取得できます。

 

接続が確立されると、状態が確立されていると言われます。 接続の最後に、クライアントとサーバーは、FIN(終了)などのプロトコルのフラグを使用して接続を切断します。 接続の状態がオープンから確立に変わると、ステートフル ファイアウォールは状態とコンテキスト情報をテーブルに格納し、通信の進行に合わせてこの情報を動的に更新します。 状態テーブルに格納された情報は、将来の接続の評価に使用できる累積データを提供します。

 

UDP などのステートレス プロトコルの場合、ステートフル ファイアウォールは、プロトコル自体に存在しないコンテキスト データを作成して保存します。 これにより、ファイアウォールは、クライアントとサーバーアプリケーション間の各要求パケットと応答パケットを個別の通信として扱うのではなく、UDP接続上で仮想接続を追跡できます。

FTP の例

FTP セッションは複数の接続を使用します。 1 つはコマンド接続で、もう 1 つはデータが通過するデータ接続です。

Stateful firewalls examine the FTP command connection for requests from the client to the server. For instance, the client may create a data connection using an FTP PORT command. This packet contains the port number of the data connection, which a stateful firewall will extract and save in a table along with the client and server IP addresses and server port.4

データ接続が確立されると、この接続テーブルに含まれる IP アドレスとポートを使用する必要があります。 ステートフル ファイアウォールは、このデータを使用して、FTP データ接続の試行が有効な要求に応答していることを確認します。 接続が閉じられると、レコードはテーブルから削除され、ポートはブロックされ、不正なトラフィックが防止されます。

ステートフル vs. ステートレス

ステートレス ファイアウォールは、各パケットを個別に評価します。 パケットの送信元と宛先のIPアドレスとポートを検査し、簡易アクセス制御リスト(ACL)に基づいてフィルタリングできます。 たとえば、ステートレス ファイアウォールでは、ほとんどの受信トラフィックに "既定の拒否" ポリシーを実装し、Web サーバーや電子メール サーバーなどの特定のシステムへの接続のみを許可できます。 たとえば、Webの場合はTCPポート80(HTTP)と443(HTTPS)、電子メールの場合はTCPポート25(SMTP)で特定のIPアドレスへの接続を許可します。

一方、ステートフルファイアウォールは、接続全体を追跡および検査します。 TCPなどのステートフルプロトコルの現在の状態を追跡し、UDPなどの接続用の仮想接続オーバーレイを作成します。

ステートフルファイアウォールは、ステートレスファイアウォールと同じ機能を持っていますが、ステートレスファイアウォールでは検出できないアプリケーション通信を動的に検出して許可することもできます。 ステートレス ファイアウォールはアプリケーションを認識していない、つまり、特定の通信のコンテキストを理解できません。

チェック・ポイント付きステートフルファイアウォール

チェック・ポイント・ステートフル・ファイアウォールは、オペレーティング・システム・カーネルのネットワーク・スタックに統合されています。 これは、物理ネットワーク インターフェイス カード (レイヤー 2) とネットワーク プロトコル スタックの最下位レイヤー (通常は IP) の間の最下位のソフトウェア レイヤーにあります。

チェック・ポイントのステートフル・ファイアウォールは、システムのネットワーク・スタックの物理コンポーネントとソフトウェア・コンポーネントの間に挿入することで、システムに出入りするすべてのトラフィックを完全に可視化します。 パケットがネットワーク・セキュリティー・アクセス制御ポリシーに準拠していることを ファイアウォール が最初に確認するまで、パケットは上位のプロトコル・スタック・レイヤーによって処理されません。

チェック・ポイント ステートフル ファイアウォールには、次のような多くの貴重な利点があります。

  • 拡張: チェック・ポイントのステートフル インスペクションの実装は、他のどのファイアウォール ベンダーよりも多くの、何百もの事前定義されたアプリケーション、サービス、プロトコルをサポートしています。
  • Performance: チェック・ポイント・ファイアウォールのシンプルで効果的な設計は、オペレーティング・システム・カーネル内で実行することで最適なパフォーマンスを実現します。 これにより、処理のオーバーヘッドが削減され、コンテキストの切り替えが不要になります。 さらに、キャッシュテーブルとハッシュテーブルを使用して、データを効率的に格納し、アクセスします。 最後に、ファイアウォールのパケットインスペクションは、最新のネットワークインターフェイス、CPU、およびOS設計を最適に活用できるように最適化されています。
  • スケーラブル: ハイパースケールとは、一言で言えば、システムへの需要の増加に応じて拡張できるテクノロジーアーキテクチャの能力です。 チェック・ポイント Maestroは、チェック・ポイントHyperSyncテクノロジーに基づく効果的なN+1クラスタリングにより、オンプレミスのクラウドの俊敏性、スケーラビリティ、弾力性をもたらし、既存のファイアウォールの機能を最大化します。 さまざまなチェック・ポイント・ファイアウォールをスタックして、クラスタにファイアウォールを追加するたびに、ほぼ直線的なパフォーマンス向上を実現できます。

Check Point’s next-generation firewalls (NGFW)は、ステートフルファイアウォールの機能を他の重要なネットワークセキュリティ機能と統合します。 NGFWで何を探すべきかについての詳細は、以下をご覧ください。 このバイヤーズガイド.あなたも大歓迎です 無料デモをお申し込みください チェック・ポイントのNGFWの動作をご覧ください。

×
  Feedback
このウェブサイトは、機能性と分析およびマーケティングの目的でクッキーを使用しています。 このウェブサイトを引き続きご利用いただくことで、クッキーの使用に同意したことになります。 詳細については、 Cookie に関する通知をお読みください。
OK