ネットワークファイアウォールの仕組み
ネットワーク ファイアウォールは、保護されたネットワークに出入りするトラフィックに合わせてデプロイされます。 トラフィックがファイアウォールを通過すると、トラフィックはトラフィックを検査し、事前定義されたファイアウォールポリシーやその他の要因に応じて許可またはブロックします。
最も基本的なタイプのファイアウォールは、パケットのヘッダーのみを見て、その内容に基づいて決定を下します。 次世代ファイアウォール(NGFW)などのより高度なファイアウォールも、パケットペイロードの内容を検査し、侵入防止システム(IPS)やアプリケーション制御などの他のセキュリティテクノロジーを組み込んでいます。
最も洗練されたファイアウォールは、レイヤー4〜7のディープパケットインスペクションを実行し、隠れた攻撃に対して包括的な脅威対策を適用するために、暗号化されたトラフィック(HTTPS)を復号化することもできます。
ネットワークファイアウォールの利点
ファイアウォールは重要なネットワークセキュリティ技術であり、次のようなさまざまな利点を提供します。
- セキュリティ体制の改善: ファイアウォールは、ネットワーク境界を定義し、その境界を通過するトラフィックをフィルタリングします。 これにより、ファイアウォールがインバウンドの脅威やネットワークからの機密データの流出の試みを特定してブロックできるようになるため、セキュリティポリシーが強化されます。
- アクセス管理: ファイアウォールは、ネットワーク経由での企業システムやソフトウェアへのリモートアクセスを管理できます。 これは、アプリケーションのトラフィックを理解し、不正アクセスの試みをブロックできる、より高度なファイアウォールに特に当てはまります。
- ネットワークの可視性: ファイアウォールは、ファイアウォールを通過するすべてのトラフィックを確認できます。 このトラフィックを監視してログに記録することで、ネットワーク上を流れるトラフィックの種類とその使用方法に関する洞察を提供できます。
- ネットワークのセグメント化: ファイアウォールは、一般的に企業 ネットワークをセグメントに分割するために使用されます。 これらのセグメントは、マルウェアやその他の侵入によるネットワークを介した横方向の移動を防ぐのに役立ちます。
一般的なネットワーク ファイアウォールの手法と機能
ネットワーク ファイアウォールは、ネットワークの境界を定義してセキュリティで保護する役割を担っています。 これを実現するために、次のようなさまざまな機能を提供しています。
- IPおよびドメインフィルタリング: 最も単純なファイアウォールでさえ、送信元または宛先のIPアドレスに基づいてパケットを管理できます。 これにより、組織は特定の IP アドレスまたはドメインからの悪意のあるトラフィックを明示的に許可または拒否できます。
- ポートブロッキング: さまざまなアプリケーションが特定のTCPポートまたは UDP ポートを使用して通信します。 ファイアウォール ルールでは、送信元ポートと宛先ポートに基づいてネットワーク トラフィックをフィルタリングし、ネットワークに出入りできるトラフィックの種類を制限することもできます。
- VPNサポート: ファイアウォールには、 通常、VPN接続の終端として機能する機能が組み込まれています。 これにより、企業ネットワークの異なるサイト間、またはリモートワーカーと企業ネットワーク間の安全な接続が可能になります。
- アプリケーションの認識: NGFW は、ネットワーク トラフィックのペイロードを検査し、さまざまな種類のアプリケーション固有のトラフィックを理解できます。 これにより、IPアドレスやポート番号だけでなく、特定のアプリケーションに基づいた制御を実装できます。
- 侵入検知と防止: NGFWは、 IPS 機能とファイアウォールのコア機能も統合しています。 これにより、企業ネットワークに侵入しようとする、またはセグメントの境界を越えようとするさまざまな潜在的な脅威を特定できます。
さまざまなタイプのネットワークファイアウォールソリューションとテクノロジー
ファイアウォールは何十年も前から存在しており、その間に新たな脅威に対処するために大幅に進化してきました。 ファイアウォールの主な種類には、次のようなものがあります。
- パケットフィルタリング: パケット フィルタリングまたはステートレス ファイアウォールは、最も単純な種類のファイアウォールです。 送信元と宛先のIPアドレスを含むパケットヘッダーを確認し、事前定義されたセキュリティルールに基づいて決定を下します。
- ステートフルインスペクション: ステートフル インスペクション ファイアウォールは、ネットワーク接続の現在の状態を追跡することで、パケット フィルタリング ファイアウォールを拡張します。 これにより、対応するリクエストのないDNS応答など、コンテキストで有効でないネットワークパケットを識別してブロックできます。
- プロキシサービス: プロキシファイアウォールは、通信当事者の1人の身元を隠すように設計されています。 非表示のシステムによって送信されるすべてのトラフィックは、プロキシファイアウォール自体から発信されているように見えます。
- NGFWは、 NGFWは、ステートフルファイアウォール以外のさまざまなセキュリティ機能を組み込んだ、最も先進的なファイアウォールです。 これには、ディープパケットインスペクション、IPS、高度な脅威対策、脅威インテリジェンスの取り込みと使用機能が含まれます。
ファイアウォールの主なタイプ以外にも、ファイアウォールはさまざまなフォームファクタで展開できます。 これらは、ハードウェア ファイアウォールから仮想アプライアンス、クラウドネイティブのサービスとしてのファイアウォール (FWaaS) オファリングまで多岐にわたります。
Quantum Force - AI-Powered ネットワーク ファイアウォールとセキュリティ Gartner Magic Quadrant
ファイアウォールにはさまざまな種類がありますが、最新のサイバーセキュリティの脅威から保護するには、次世代ファイアウォールが必要です。 NGFWは、ファイアウォールのコア機能以外にも多くの機能を組み込んでおり、より広範囲にわたる微妙で高度なサイバーセキュリティの脅威を特定してブロックすることができます。
NGFWに何を求めるべきか、そして組織にとって最適な選択をする方法についての詳細は、この NGFWバイヤーズガイドをご覧ください。
チェック・ポイントは、ネットワーク・ファイアウォール分野のリーダーとして長年にわたり、業界をリードする AIを活用したファイアウォール ・ソリューションを提供しています。 チェック・ポイント Quantum Force NGFWの機能についてさらに詳しく知りたい方は 、無料デモにサインアップしてください。