さまざまな種類のファイアウォール、それらの違い、および各タイプが異なる方法でネットワークを保護する方法についての基本を学びます。
ファイアウォールは、プライベートネットワークと外界との間の障壁として機能する基本的ではあるが不可欠なセキュリティ層です。 第一世代のステートレスファイアウォールから次世代のファイアウォールまで、ファイアウォールアーキテクチャは過去四十年にわたって 今日、組織は、アプリケーションレベルのゲートウェイ(プロキシファイアウォール)、ステートフル検査ファイアウォール、回路レベルのゲートウェイなど、いくつかのタイプのファイアウォールを選択できます。さらには、複数のタイプを同時に使用して、より深い層の包括的なセキュリティソリューションを実現することもできます。
ファイアウォールとは何ですか、それは何のために使用されますか?
ファイアウォールは、着信および/または発信ネットワークトラフィックを監視し、事前に定義されたルールに基づいて悪意のあるデータパケットを検出およびブロックし、正当なトラフィックのみがプライベートネットワークに入ることを可能にするセキュリティツールです。 ハードウェア、ソフトウェア、またはその両方として実装されたファイアウォールは、通常、マルウェア、ウイルス、および組織の内部ネットワークやシステムに侵入しようとしている攻撃者に対する最初の防御線です。
建物の正面玄関にあるウォークスルー式の金属探知機のドアのように、物理的またはハードウェアのファイアウォールが各データパケットを検査してから入 送信元アドレスと宛先アドレスをチェックし、事前定義されたルールに基づいて、データパケットが通過するかどうかを決定します。 データパケットが組織のイントラネット内に入ると、ソフトウェアファイアウォールはトラフィックをさらにフィルタリングして、コンピュータシステム上の特定のポートやアプリケーションへのアクセスを許可またはブロックすることができ、内部の脅威からのより良い制御とセキュリティを可能にします。
アクセス制御リストは、信頼できない特定のインターネットプロトコル(IP)アドレスを定義することができます。 ファイアウォールは、これらのIpからのデータパケットをドロップします。 または、アクセス制御リストで信頼されたソースIpを指定することができ、ファイアウォールでは、リストされたIpからのトラフィックのみが許可されま ファイアウォールを設定するには、いくつかの手法があります。 これらが提供するセキュリティの範囲は、一般的にファイアウォールの種類とその構成方法によっても異なります。
ファイアウォールの種類は何ですか?
構造的には、ファイアウォールはソフトウェア、ハードウェア、またはその両方の組み合わせである可能性があります。 ソフトウェアファイアウォールは、個々のデバイスに個別にインストールされます。 あるアプリケーションや機能へのアクセスを許可し、他の機能をブロックできるという点で、より詳細な制御が提供されます。 しかし、インストールされているデバイスのCPUとRAMを利用し、管理者はデバイスごとに個別に設定および管理する必要があるため、リソースの面で高 さらに、イントラネット内のすべてのデバイスは、単一のソフトウェアファイアウォールと互換性がなく、複数の異なるファイアウォールが必一方、
ハードウェアファイアウォールは、それぞれ独自のコンピューティングリソースを持つ物理デバイスです。 これらは、内部ネットワークとインターネットの間のゲートウェイとして機能し、プライベートネットワーク外の信頼されていないソースからのデータパ 物理ファイアウォールは、同じネットワーク上に多数のデバイスを持つ組織にとってはかなり便利です。 悪意のあるトラフィックはエンドポイントに到達する前にブロックされますが、インサイダー攻撃に対するセキュリティは提供されません。 そのため、ソフトウェアとハードウェアファイアウォールの両方を組み合わせることで、組織のネットワークに最適なセキ
ファイアウォールは、その動作に基づいて分類され、各タイプはソフトウェアまたは物理デバイスのいずれかとして設定できます。 それらの操作方法に基づいて、ファイアウォールには4つの異なるタイプがあります。
パケットフィルタファイアウォール
パケットフィルタファイアウォールは、最も古く、最も基本的なタイプのファイアウォールです。 ネットワーク層で動作し、パケットを渡すか破棄するかを決定するために、送信元IPと宛先IP、プロトコル、送信元ポート、宛先ポートのデータパケットを事前定義されたルールに照らしてチェックするだけです。 パケットフィルタリングファイアウォールは基本的にステートレスであり、確立された接続や以前にその接続を通過したパケットを追跡することなく、各パケットを独立して監視します。 これにより、これらのファイアウォールは、高度な脅威や攻撃から保護する能力が非常に制限されます。
パケットフィルタリングファイアウォールは、高速で安価で効果的です。 しかし、彼らが提供するセキュリティは非常に基本的です。 これらのファイアウォールはデータパケットの内容を調べることができないため、信頼されたソースIpからの悪意のあるデータパケットから保護するこ ステートレスであるため、ソースルーティング攻撃やtiny fragment攻撃に対しても脆弱です。 しかし、その最小限の機能にもかかわらず、パケットフィルタリングファイアウォールは、より強力でより深いセキュリテ
回線レベルのゲートウェイ
セッション層で動作する回線レベルのゲートウェイは、確立されたTransmission Control Protocol(TCP)接続を検証し、アクティブなセッションを追跡し これらは、単一のチェックを実行し、最小限のリソースを利用するという点で、パケットフィルタリングファイアウォールに非常に似ています。 しかし、それらはオープンシステム相互接続(OSI)モデルの上位層で機能します。 主に、確立された接続のセキュリティを決定します。 内部デバイスがリモートホストとの接続を開始すると、回線レベルのゲートウェイは内部デバイスに代わって仮想接続を確立し、内部ユーザのidとIPア
回路レベルのゲートウェイはコスト効率が高く、単純化されており、ネットワークのパフォーマンスにほとんど影響を与えません。 しかし、データパケットの内容を検査することができないことは、彼ら自身で不完全なセキュリティソリューションになります。 マルウェアを含むデータパケットは、正当なTCPハンドシェイクがある場合、回線レベルのゲートウェイを簡単にバイパスできます。 そのため、保護を強化するために、回線レベルのゲートウェイの上に別のタイプのファイアウォールが設定されることがよくあります。
ステートフルインスペクションファイアウォール
回路レベルのゲートウェイよりも一歩先を行くステートフルインスペクションファイアウォールは、確立された接続の検証と追跡に加えて、より優れた、より包括的なセキュリティを提供するためにパケット検査を実行します。 接続が確立されると、送信元IP、宛先IP、送信元ポート、および宛先ポートを含む状態テーブルを作成することによって機能します。 この情報に基づいてハードコードされた一連のルールに依存するのではなく、予想される着信ネットワークトラフィックを許可するために、独自のルール 検証済みのアクティブな接続に属していないデータパケットを削除するのが便利です。
ステートフルインスペクションファイアウォールは、送信元Ipと宛先Ipだけでなく、正当な接続をチェックして、どのデータパケットを通過できるかを これらの余分なチェックは高度なセキュリティを提供しますが、多くのシステムリソースを消費し、トラフィックを大幅に遅くする可能性があります。 したがって、彼らはDDoS(分散型サービス拒否攻撃)になりやすいです。
アプリケーションレベルのゲートウェイ(プロキシファイアウォール)
プロキシファイアウォールとも呼ばれるアプリケーションレベルのゲートウェイは、プロキシデバイスを介してアプリケーション層に実装されます。 外部者が内部ネットワークに直接アクセスする代わりに、プロキシファイアウォールを介して接続が確立されます。 外部クライアントは、プロキシファイアウォールに要求を送信します。 要求の信頼性を確認した後、プロキシファイアウォールは、クライアントに代わって内部デバイスまたはサーバーのいずれかにそれを転送します。 代替的に、内部デバイスは、ウェブページへのアクセスを要求することができ、プロキシデバイスは、内部デバイスおよびネットワークの身元および位置
パケットフィルタリングファイアウォールとは異なり、プロキシファイアウォールはステートフルでディープなパケット検査を実行し、ユーザー定義のルールのセットに対してデータパケットのコンテキストとコンテンツを分析します。 結果に基づいて、パケットを許可または破棄します。 これらは、内部システムと外部ネットワーク間の直接接続を防止することによって、機密リソースのidと場所を保護します。 ただし、最適なネットワーク保護を実現するように構成するのは少し難しい場合があります。 プロキシファイアウォールは、本質的にホストとクライアントの間の余分な障壁であり、かなりの速度低下を引き起こします。
次世代ファイアウォールとは?
次世代ファイアウォール(Ngfw)は、従来のファイアウォールの制限を克服しながら、いくつかの追加のセキュリティ機能を提供することを目的としています。 柔軟な機能とアーキテクチャにもかかわらず、ファイアウォールを真に次世代にするのは、ポート/プロトコルとサーフェスレベルパケットインスペクションに加えて、ディープパケットインスペクションを実行できることです。 具体的で合意された定義はありませんが、ガートナーによると、次世代ファイアウォールは、”ポート/プロトコル検査とブロックを超えて、アプリケーションレベルの検査、侵入防止、ファイアウォールの外部からのインテリジェンスをもたらすディープパケット検査ファイアウォールです。”
次世代ファイアウォールは、ネットワークパフォーマンスに影響を与えることなく、他のタイプのファイアウォールの機能を単一のソリ それらはより強く、前任者の何れかより広く、より深い保証を提供する。 異常やマルウェアを検出するための深いパケット検査を実施することに加えて、NGFWsは、インテリジェントトラフィックとリソース分析のためのアプ これらのファイアウォールは、DDoS攻撃を完全にブロックすることができます。 Secure Sockets Layer(SSL)復号化機能を備えており、アプリケーション全体を完全に可視化し、暗号化されたアプリケーションからのデータ侵害の試みを識別してブロック
次世代ファイアウォールはユーザーとユーザーロールを識別できますが、以前のファイアウォールは主にシステムのIPアドレスに依存していました。 このブレークスルー機能により、ユーザーはワイヤレスのポータブルデバイスを活用しながら、柔軟な作業環境全体で幅広いスペクトルセキュリティを提供し、独自のデバイス(BYOD)ポリシーを導入することができます。 また、セキュリティに向けたより包括的なアプローチを提供するために、ウイルス対策や侵入防止システム(IPS)などの他の技術を組み込むこともで
次世代ファイアウォールは、健康保険の携帯性と説明責任法(HIPAA)または決済カード業界(PCI)ルールに準拠する必要がある企業、または複数のセキュリティ機能を単一のソリューションに統合したい企業に適しています。 しかし、それらは他の種類のファイアウォールよりも高い価格で提供されており、選択したファイアウォールに応じて、管理者は他のセキュリティシス
どのタイプのファイアウォールが私の組織に最も適していますか?
各組織の固有のセキュリティ要件を満たすことができる万能のソリューションはありません。 実際には、ファイアウォールの異なる種類のそれぞれには、独自の利点と制限があります。 パケットフィルタリングファイアウォールは単純化されていますが、セキュリティは限られていますが、ステートフルインスペクション 次世代ファイアウォールは完全なパッケージであるように見えますが、すべての組織がそれらを正常に構成および管理するための予算またはリソー
攻撃が高度化するにつれて、組織のセキュリティ防御が追いつかなければなりません。 内部ネットワークの境界を外部の脅威から保護する単一のファイアウォールでは十分ではありません。 プライベートネットワーク内の各資産は、同様に独自の個々の保護を必要とします。 単一のファイアウォールの機能に依存するのではなく、セキュリティに向けた階層化されたアプローチを採用することをお勧めします。 組織のセキュリティニーズに合わせて最適化されたアーキテクチャで、複数のファイアウォールの利点を活用できるときに、なぜ一つに解決するのですか。
Parallels RASを使用してデータへのアクセスを保護する
進化し続ける脅威環境におけるサイバー攻撃の検出と軽減は、非常に困難です。 それらがいかに洗練されているかにもかかわらず、ファイアウォールだけでは十分な保護を提供できません。 柔軟な職場環境と在宅ワークのビジネスモデルが主流になるにつれて、雇用者も従業員も差し迫った脅威を真剣に受け止めなければなりません。 内部リソースにリモートでアクセスしようとする従業員は、仮想プライベートネットワーク(VPN)を介してアクセスし、組織のポリシーに準拠したデバイスを使
Parallels®Remote Application Server(RAS)は、マルチクラウド環境でアプリケーションとデータを監視および保護するための幅広いツールと機能を提供しています。 これは、ゲートウェイ、メディアアクセス制御(MAC)アドレス、クライアントの種類、IPアドレス、特定のユーザーまたはユーザーの役割に基づいてアクセスを許可ま
Parallels RAS enhanced data securityは、機密データを保護し、高度に詳細な権限ポリシーに加えて、暗号化と多要素認証を通じて不正アクセスを防止します。 Parallels RASを使用すると、従業員はデバイスを切り替えたり、任意の場所からオンプレミスのデータやアプリケーションにアクセスしたりすることができます。
Parallels RASの強化されたデータセキュリティが企業データを保護する方法についての詳細を学ぶことに興味がありますか? 今日の私たちの30日間の試用版をダウンロード!