ファイアウォールソフトウェアとは何ですか?
ファイアウォールを展開する主な方法は、ホスト上でアプリケーションとして実行されるファイアウォールソフトウェアとして、または専用のネットワークデバイス上で実行されるハードウェアファイアウォールとして展開する方法の2つです。 ファイアウォールソフトウェアは、Windows、macOS、およびその他のUnixライクなオペレーティングシステムを実行している個人および会社のラップトップで広く使用されています。
ファイアウォールソフトウェアは、専用のハードウェアに展開できるファイアウォールディストリビューションでも利用できますが、この説明では、ファイアウォールの展開方法(オンホストと専用ネットワークデバイス)の観点から、ソフトウェアファイアウォールとハードウェアファイアウォールを区別します。
ファイアウォールソフトウェアはどのように機能しますか?
Windows、macOS、およびLinuxソフトウェアファイアウォールに加えて、ファイアウォールはIoT(モノのインターネット)デバイス、特にLinuxベースでiptablesユーティリティを使用するデバイスに組み込まれています。
ファイアウォール・ソフトウェアをWindowsなどのホストにインストールすると、アプリケーション・レベルに至るまで、ネットワーク・アクセスをきめ細かく決定できます。 たとえば、Web サーバー アプリケーションは、HTTP トラフィック用の標準 TCP ポートであるポート 80 (HTTP) と 443 (HTTPS) で受信接続を受信できます。
通常のネットワーク運用に必要な一部のサービスのみがファイアウォールの通過を許可され、プロファイルに基づいてポリシーを設定できます。 たとえば、ドメイン プロファイルは組織のドメイン コントローラーに接続するためのもので、プライベート プロファイルは自宅で接続するとき、パブリック プロファイルは地元のコーヒー ショップの Wi-Fi などの保護されていないパブリック ネットワークに接続するためのものです。
セキュリティ ポリシー ルールは、通常、プロファイルごとに事前に定義されており、必要に応じてカスタマイズできます。 既定では、すべての送信接続が許可されます。 デバイスの数が多いため、この機能が製品の設計に含まれていない場合、ファイアウォール ソフトウェア ポリシーを一元的に管理することは困難です。
ファイアウォールソフトウェアの機能
ソフトウェアベースのファイアウォールには、次のような共通の機能が必要です。
- 小さなフットプリント: ファイアウォール ソフトウェアは、他のアプリケーションとともにホスト上で実行されるため、これらのアプリケーションと共存できる必要があります。 これは、ディスク容量、コンピューティング、およびその他のシステムリソースを共有することを意味します
- 牢: セキュリティ製品として、ファイアウォール自体が安全で、他のアプリケーションやユーザーがアクセスできないものでなければなりません。 これは、ホストプラットフォームでのユーザーアクセス制御を厳格化して、ローカル構成の変更を制限することを意味する場合があります。 ファイアウォール プロセスをアンインストール、インストール、または停止するアクセス許可にも同じことが当てはまります。
- 費用: 通常、ファイアウォール ソフトウェアはホスト製品に含まれているため、ファイアウォール ソフトウェア自体に料金はかかりません。 ただし、一元管理や高度な脅威対策などのアドオン機能には料金がかかる場合があります。
ソフトウェアファイアウォールとハードウェアファイアウォール
デプロイメントの場所が異なるということは、ソフトウェア ファイアウォールとハードウェア ファイアウォールで機能セットが若干異なることを意味します。 どちらもファイアウォールのコア機能は同じですが、制御する内容が若干異なります。
ネットワークレベル
ハードウェア ファイアウォール はネットワーク上に展開され、次のようなネットワーク レベルの機能を提供できます。
- ルーティング: ハードウェアファイアウォールは、ネットワークのある部分を別の部分から分離する境界デバイスとして配置されます。 つまり、ルーティング モードで展開し、ルーティングの決定に参加できます。 これにより、ルーターの役割を担い、パケットが宛先に到達するためにたどるネットワークパスを決定できます。
- ネットワーク アドレス変換 (NAT): ハードウェア ファイアウォールは、2 種類のネットワーク間の Gartner マジック クアドラントとして機能する場合があります。たとえば、プライベートネットワークからパブリックネットワークへ。 ハードウェア ファイアウォールの一般的な機能は、パブリックにルーティング可能なアドレス空間からプライベート ネットワークを隠す機能です。 これにより、IPアドレスが節約され、内部アドレスが隠されるため、コストとセキュリティ上のメリットが得られます。
- 一元管理: ハードウェア ファイアウォールは、大規模なコンピューター グループを分離するため、展開と管理の面でスケールメリットの恩恵を受けることもできます。
ホストレベルの機能
通常、ソフトウェア ファイアウォールはホスト上で実行され、次のような特定の機能を提供します。
- きめ細かなアプリケーションレベルのアクセス: ホストは、ホストで許可されるアプリケーションと、これらのアプリケーションのネットワークアクセスをより詳細に制御できます。
- EDRとの統合: ファイアウォールソフトウェアは、 ランサムウェア の脅威や、悪意のあるUSBデバイスからのアウトオブバンド攻撃などについてホストを監視する統合セキュリティスイートの一部である場合があります。 デバイス上の監視は、脅威への対応に役立つ豊富なデータ ソースを提供します。
- デバイスのセキュリティ: ファイアウォール ソフトウェアはデバイスと共に移動します。 デバイスがユーザーと一緒に移動するラップトップである場合、ファイアウォールは会社のネットワークに取り残されず、会社のポリシーを積極的に適用します。
ファイアウォールソフトウェアの主な利点
ハードウェアファイアウォールと比較して、ソフトウェアファイアウォールには次の主な利点があります。
- きめ細かなセキュリティ: ソフトウェアファイアウォールは、ホストネットワークアクセスのデバイスレベルおよびアプリケーション制御を直接提供します。インバウンドとアウトバウンドの両方。
- モバイルセキュリティ: ソフトウェアファイアウォールはデバイスと一緒に移動します。ユーザーが旅行中または自宅で仕事をしているときのオンネットワークとオフの両方。
- デバイスの視認性の向上: ソフトウェアファイアウォールは、 エンドポイントでの検出と対応(EDR) ソリューションで使用できるデバイスのネットワークアクティビティを詳細に可視化します。
どの種類のファイアウォールソフトウェアがあなたに適していますか?
ソフトウェアファイアウォールとハードウェアファイアウォールのどちらを選択するかは、ファイアウォールが何をセキュリティで保護することを意図しているかによって異なります。 モバイルや自宅で仕事をするユーザーがいる場合は、ハードウェアファイアウォールよりもファイアウォールソフトウェアがおそらく正しい選択です。 一方、リモート サイトがある場合は、境界として使用できるハードウェア ファイアウォールが論理的な選択です Gartner マジック クアドラント。
リモートユーザーとリモートサイトの両方を保護する必要があるが、きめ細かなデバイスレベルのアクセスやサイトレベルのきめ細かなアクセス制御は必要ない場合は、3番目のオプションであるSASE(セキュア アクセス サービス エッジ)モデルで展開された サービスとしてのファイアウォール(FWaaS) を検討してください。 プライベートクラウドまたはパブリッククラウドのインフラストラクチャを保護する必要がある場合は、 クラウドファイアウォールを検討してください。
今日の最新の 次世代ファイアウォール(NGFW)は、 あらゆるデプロイメントの選択肢に適合するソリューションを提供します。 ファイアウォールの選択方法の詳細については、この NGFWバイヤーズガイドをご覧ください。 また、 無料のデモをリクエスト して、チェック・ポイントのNGFWの機能をご自身でお確かめいただくこともできます。
Feedback