What is a Stateless Firewall?

ステートレス ファイアウォールは、ネットワーク接続の現在の状態に関する情報を保存しないファイアウォールです。 代わりに、各パケットを個別に評価し、パケットに含まれるデータに基づいて、許可されているか許可されていないかを判断しようとします。

デモをリクエストする Miercom 2024 NGFW セキュリティ ベンチマーク

ステートレスファイアウォールの仕組み

ファイアウォールの目的は、保護されたネットワークへのアクセスを制限することです。ファイアウォールは、保護されたネットワークに出入りするトラフィックに合わせてインストールされ、各インバウンドまたはアウトバウンドパケットを検査できます。 ファイアウォールは、組み込みのルールセットに基づいて、パケットを許可するかドロップするかを決定します。

ファイアウォール にはいくつかの種類がありますが、ステートレス ファイアウォールは、各パケットに含まれるデータ (通常はパケット ヘッダー) のみに基づいて各パケットを評価するファイアウォールです。 パケット ヘッダーには、IP アドレス、ポート番号、およびパケットが承認されているかどうかを判断するためにファイアウォールが使用できるその他の情報が含まれています。

ファイアウォールは、保護されたネットワークへのアクセスを許可するIPアドレスのセットを制限するルール、または特定のネットワークプロトコルのみにネットワークへの出入りを許可するルールで構成できます。 たとえば、ステートレス ファイアウォールは、受信 HTTPS 接続を許可し、受信 SSH をブロックするように設定できます。 同様に、ファイアウォールは、特定の地理的地域または既知の不正な IP アドレスからのトラフィックをブロックするように構成できます。

ステートフル ファイアウォールとステートレス ファイアウォール

ステートレス ファイアウォールは、通常、 ステートフル ファイアウォールとは対照的に定義されます。 これらの主な違いは、ステートフル ファイアウォールはアクティブなネットワーク接続の現在の状態に関する情報を追跡しますが、ステートレス ファイアウォールは追跡しないことです。

これは、ステートフルファイアウォールが一見正当に見えるが悪意のあるトラフィックを識別してブロックできるようにするため、重要です。 たとえば、TCP ハンドシェイクには、クライアントからの SYN パケット、サーバーからの SYN/ACK パケット、クライアントからの ACK パケットが含まれます。 攻撃者が SYN/ACK に応答しない ACK パケットを企業サーバーに送信した場合、ステートフル ファイアウォールはそれをブロックしますが、ステートレス ファイアウォールはブロックしません。 つまり、ステートレスファイアウォールは、ステートフルファイアウォールがキャッチしてブロックする特定の種類のネットワークスキャンやその他の攻撃を見落とします。

ステートレスファイアウォールの長所と短所

ステートレス ファイアウォールは、パケット ヘッダーのみを処理するように設計されており、状態は保存されません。 これには、次のようないくつかの利点があります。

  • 速度: ステートレス ファイアウォールは、他の種類のファイアウォールと比較して、ネットワーク トラフィックの分析を比較的少なくします。 その結果、ステートフル ファイアウォールよりも待機時間が短くなる可能性があります。
  • 拡張性: ステートレスファイアウォールの処理能力は限られているため、スケーラビリティにも影響します。 ステートレス ファイアウォールでは、ファイアウォールの処理とデータの要件が限られているため、同じハードウェアでより多くの接続を処理できる場合があります。
  • 費用: ステートレス ファイアウォールは、他の種類のファイアウォールよりも複雑ではありません。 その結果、より高度なファイアウォールよりも低価格で入手できる可能性があります。

ただし、ステートレスファイアウォールには利点がありますが、これらは重大な欠点によってバランスが取れています。 ステートレス ファイアウォールは、次のような多くの一般的な種類の攻撃を検出できません。

  • Out-of-Sequence Packets(アウトオブシーケンスパケット): ステートレス パケットは、ネットワーク接続の現在の状態を可視化できず、意図的に順序どおりに送信された正当なパケットを検出できません。 たとえば、ステートレス ファイアウォールは、多くの種類の TCP スキャン (ACK、FIN など) を検出したり、対応する要求なしで送信された DNS 応答を識別したりすることはできません。
  • 埋め込み型マルウェア: ステートレスファイアウォールは、ネットワークパケットのヘッダーのみを検査し、その内容は検査しません。 これにより、マルウェアなどの悪意のあるコンテンツがパケットのペイロードに含まれているかどうかを特定できなくなります。
  • アプリケーション層攻撃: また、ステートレスファイアウォールはパケットヘッダーに重点を置いているため、アプリケーション層で行われる攻撃を目立たなくすることができます。 たとえば、Webアプリケーションの脆弱性の悪用やクラウドインフラストラクチャに対する攻撃は、これらのファイアウォールからは見えません。
  • 分散型サービス妨害攻撃(DDoS)攻撃:DDoS攻撃では、通常、大量のスパムパケットをターゲットに送信します。これらのパケットは正当に見え、ステートレスファイアウォールは各パケットを個別に検査するため、この種の攻撃を見逃すことになります。

ステートレス ファイアウォールは、ステートフル ファイアウォールよりも効率的です。 しかし、彼らはほとんどの最新の攻撃に対して完全に盲目であり、組織に提供する価値は限られています。

Firewall Security with チェック・ポイント

適切なファイアウォールを選択することは、組織のサイバーセキュリティプログラムの成功に不可欠です。 最新の脅威から保護するには、複数のセキュリティ機能を統合して詳細なセキュリティ可視性と効果的な脅威対策を実現する 次世代ファイアウォール (NGFW)が唯一の選択肢となります。 ファイアウォールで何を探すべきかについては、この NGFWのバイヤーズガイドをご覧ください。

チェック・ポイントは、あらゆる組織固有のニーズに合わせて設計された さまざまなNGFW を提供しています。 チェック・ポイントのNGFWの機能の詳細を確認し、組織に適した選択肢を特定するには、 今すぐ無料デモにサインアップしてください。

 

スタート

チェック・ポイントの次世代ファイアウォール

超高速ファイアウォールの比較

スケーラブルで回復力のあるファイアウォール

関連トピック

NGFW

SSL Inspection

FWaaS(サービスとしてのファイアウォール)

さまざまな種類のファイアウォール

ステートフルファイアウォールとは

×
  Feedback
このウェブサイトは、機能性と分析およびマーケティングの目的でクッキーを使用しています。 このウェブサイトを引き続きご利用いただくことで、クッキーの使用に同意したことになります。 詳細については、 Cookie に関する通知をお読みください。
OK