ファイアウォールとは何ですか?なぜそれが重要なのですか? [ビギナーズガイド]

公開: 2019-07-17
目次

  • ファイアウォールとは何ですか?

  • ファイアウォールは何をしますか?

  • ファイアウォールの種類

  • 次世代ファイアウォール

  • 人気のファイアウォールベンダー

  • 要約

    • 私たちの社会では、オンラインのプライバシーとセキュリティはどちらも珍しい商品です。 統計は同じように言っています。

    毎年、何十億ものレコードが公開されています。 それだけでなく、オンラインの世界では9億を超えるマルウェアが暴走しています。 したがって、合理的な質問が際立っています–私たちの誰かが安全になる方法はありますか?

    ありがたいことに、VPNとマルウェア対策ソフトウェアはトラフィックを保護するのに役立ちますが、それだけのことができる場合もあります。 オンラインスペースで大勢の敵に対して防御部隊を率いる何かが必要です。

    これがファイアウォールの出番です。

    しかし、ファイアウォールとは何ですか?

    建設中、ファイアウォールはコンクリート(ほとんどの場合)の壁であり、最終的な火災が建物全体に広がるのを防ぐという1つの目的しかありません。

    コンピューティングにおける「ファイアウォール」という言葉は、アーキテクチャで使用される用語に由来します。 その目的は同じです–危険がネットワーク全体に広がるのを防ぐことです。

    これは、ネットワークセキュリティの重要な要素の1つです

    さて、ファイアウォールとは何か、ファイアウォールがどのように機能するか、そしてファイアウォールを持つことがなぜ重要なのかを調べてみましょう

    ファイアウォールとは何ですか?

    ファイアウォール定義するに、万里の長城について考えてみてください

    人々は何世紀にもわたって敵から身を守るために壁を築いてきました。 モンゴル、ホワイトウォーカー、サイバー犯罪者のいずれからでも。 たとえば、モンゴル帝国のチンギスカンは、万里の長城を1回ではなく、数回破ることができました。 ただし、ファイアウォールは別のものです。 効率的です。

    そこでここでは、ファイアウォールの定義です

    ファイアウォールは、着信トラフィックと発信トラフィックをフィルタリングすることによってネットワークを保護する保護システムです。 ファイアウォールのユーザーは、ファイアウォールが従う一連のルールを定義します。 これらのルールは、システムに出入りできるトラフィックを定義します。 ファイアウォールは、構成で明示的に許可されていないすべてのデータパケットをブロックします。

    ファイアウォールは特効薬ではありませんが、他のセキュリティソリューションと組み合わせると、システムを攻撃に対してほぼ無敵にすることができます。 より優れたネットワークセキュリティが必要な場合ファイアウォールが必須です。ファイアウォールは、ネットワークの外部から発生するほとんどの攻撃をブロックできます。

    ファイアウォールとは何かがわかったので、ファイアウォールが実際にどのように機能するかを詳しく調べることができます。

    ファイアウォールは何をしますか?

    本質的に、ファイアウォールの作業は比較的簡単です。 ユーザーは、通過できるトラフィックと通過できないトラフィックを定義します。 通常、ネットワークへのアクセスをドロップ拒否、または承認/許可する3つの単純なコマンドを実行します。

    彼らがしていることは次のとおりです。

    • ドロップ–システムに出入りしようとするデータパケットは直接ブロックされます。
    • 拒否–ドロップコマンドと同じですが、データの送信者はエラーメッセージを受け取ります。
    • Accept / Allow –データパケットはファイアウォールを通過できるようになります。

    これらの3つのコマンドは、事前定義されたルールのおかげで動作します。 ユーザーが新しいファイアウォールを確立するとき、ユーザーはどのトラフィックがネットワークに到達するか、またはネットワークを離れるかを構成します。

    ファイアウォールは、 IPアドレスだけでなく、ドメイン名キーワードプロトコルポート、およびアプリに基づいてアクセスをブロック(または許可)できます

    たとえば、従業員の自宅のIPアドレスからのトラフィックのみを受け入れるようにファイアウォールの設定構成できます そうすれば、同じ従業員がカフェからあなたのネットワークに接続しようとすると、彼はブロックされます。

    ファイアウォールは、事前定義されたルールに従ってすべてのデータパケットをチェックします。 10個の信頼できるIPアドレスを追加した場合、ファイアウォールはリスト外のIPからのすべてのパケットブロックします 複数のルールがある場合、各接続はそれらすべてを正常に通過する必要があります。

    一般に、ユーザーは考えられるすべての接続を予測できるわけではありません。 したがって、特定のルールが適用されない場合にファイアウォールが機能するように、デフォルトのポリシー設定されています。

    ファイアウォールのデフォルトポリシー

    ファイアウォールセキュリティソリューションは、ユーザーが生成したルールが適用されないため、データパケットを受信した場合、デフォルトのポリシーが場に出ます。 このような場合、上記の3つのコマンドのうち1つだけを実行します。

    ファイアウォールのデフォルトポリシーが「許可」に設定されていると仮定しましょう つまり、明示的に禁止されている接続を除いて、すべての接続が承認されます。 この場合、悪意のあるデータパケットがネットワークに簡単に侵入する可能性があるため、これは実際にはお粗末なセキュリティプロトコルです。

    デフォルトのポリシーが「ドロップ」に設定されている場合、ルールに一致しないすべての接続が無視されます。

    今。

    ファイアウォールがトラフィックに反応する方法には違いがあります。 着信トラフィックと発信トラフィックがあるため、両方のルールが異なります。

    通常、送信トラフィックは、おそらく信頼できるソース(サーバー)から送信されるため、常に許可されます。

    ただし、理論的にはサイバー犯罪者がサーバーを追い抜く可能性があるため、いくつかの制限があります。 その可能性があると思われる場合は、信頼できない通信(機密データの共有など)が送信されないようにする必要があります。

    別の方法でネットワークファイアウォールの扱い着信トラフィックは、 -それぞれの特定のケースのためのルールの全体の束の必要があります。 ファイアウォールのセキュリティ上の利点を最大化することは、面倒な仕事になる可能性があります。

    ファイアウォールとは何かについてはすでにかなりの知識があるので、さまざまなタイプのファイアウォール違いを見てみましょう

    ファイアウォールの種類

    1つのファイアウォールですべてを支配することはできません。 ファイアウォールはさまざまなケースで提供され、トラフィックをフィルタリングするさまざまな方法があります。

    ファイアウォールにはパケットフィルタリングステートフルアプリケーションレベルの3つの最も一般的なタイプがあります

    パケットフィルタリング

    パケットフィルタリングは、第1世代のファイアウォールです。

    ファイアウォールがこの方法を使用する場合、ファイアウォールはネットワークに出入りする途中で各データパケットをチェックします。 このファイアウォール、ユーザーが定義したルールに基づいてパケットを受け入れるかドロップすることで保護提供します。

    パケットフィルタリングはまともなセキュリティオプションですが、間違いなく最善ではありません。 さらに、構成には多くの時間と労力が必要です。

    ステートフルファイアウォール

    ステートフルファイアウォールは、第2世代ファイアウォールとも呼ばれ、データパケットを以前のファイアウォールと比較できます。 これは、パケットフィルタリングもの(また、ステートレスとして知られている)よりもファイアウォールのこのタイプは、より柔軟になります ステートフルファイアウォールは、本質的に、速度とセキュリティの向上を交換します。

    簡単に言うと、ステートフルファイアウォールは、信頼できるネットワークとの間のデータ転送を「記憶」できるため、通信全体にファイアウォールルールが適用されます。 一方、パケットフィルタリングでは、各データパケットをそのルールに照らして測定する必要があります。

    アプリケーションレベルゲートウェイ/プロキシサーバーファイアウォール

    これで、前の2つのタイプのファイアウォールが着信トラフィックと発信トラフィックを制御することがわかりました 3世代ファイアウォール–アプリケーション層はさらに一歩進んでデータを分析し、特定のアプリケーションへのアクセスを許可または拒否します(そのためその名前が付けられています)。 ユーザー定義のポリシーを満たしていないアプリやサービスをブロックする機能があります。

    了解しました。これらがファイアウォールの3つの主要なタイプでした

    ただし、これはファイアウォールがこれらの手法の1つのみを使用することを意味するものではありません。 実際、優れたネットワークファイアウォール、これらの方法の2つまたはすべてを組み合わせて、より高いレベルのセキュリティを提供します。

    これらのアプローチは、すべてのソフトウェアファイアウォールの中核です その上ファイアウォールのセキュリティを向上させるために、ハードウェアファイアウォールも存在する可能性があります

    ハードウェアファイアウォール

    ハードウェアファイアウォールは通常、パケットフィルタリングテクノロジーが組み込まれたデバイスです。 これらは、スタンドアロンデバイスにすることも、ブロードバンドルーターに実装することもできます これらは悪意のあるデータに対する最初の防衛線であるため、ハードウェアファイアウォールは、ローカルネットワーク上のすべてのシステムをその入口と出口をカバーすることによって保護することを目的としています。

    ハードウェアファイアウォールの利点の1つは、構成が簡単なことです。 構成が完了すると、 NMap Tenable PersonalFirewallなどの無料ツールのいずれかを使用してテストできます

    ソフトウェアファイアウォール

    また、ホストベースのファイアウォールとして知られているソフトウェアファイアウォールは、個人用保護のための最も一般的な方法です。 ハードウェアファイアウォールとは異なりソフトウェアファイアウォールは、それがインストールされています唯一のデバイスではなく、ネットワーク全体を保護します。 セキュリティを強化するには、両方を使用することをお勧めします。これは、ネットワークベースのファイアウォールと呼ばれます

    ソフトウェアファイアウォールを使用すると、ユーザーは機能の一部を定義できますが、ハードウェアファイアウォール提供する完全なカスタマイズオプションは提供されません

    ほとんどのソフトウェアファイアウォールは、外部の脅威から保護するだけでなく、最も一般的な悪意のあるアプリからも保護します。 GlassWireは、そのようなセキュリティアプリの完璧な例です。

    ほとんどのセキュリティ要素と同様に、ファイアウォールを最新の状態に保つことが重要です。

    次世代ファイアウォール

    2009年、アドバイザリー会社のGartnerは、「次世代ファイアウォール」という用語を定義しました。 名前が示すように、これは従来のファイアウォールの改良版です

    次世代ファイアウォール(NGFW)は、アプリケーション、プロトコル、およびポートにポリシーを適用します。

    従来のファイアウォールとは異なり、NGFWはいわゆるディープパケットインスペクション(DPI)を実行します。この方法は、パケットヘッダーのみをチェックする従来のパケットフィルタリングとは異なります。 一方、DPIはパケット内のデータを調べて、パッケージが安全かどうかを確認します。

    ディープパケットインスペクションは、侵入検知システム(IDS)、侵入防止システム(IPS)、および従来のステートフルファイアウォールを組み合わせたものです。

    ほとんどの企業は、全体的なセキュリティが向上するため、次世代のネットワークファイアウォールを使用しています。 これはより複雑なソリューションであり、データパケットのフィルタリングだけでなく、悪意のあるアプリの検出も提供します。

    一部の次世代ファイアウォール、WannaCry、NotPetyaなどのランサムウェア攻撃を検出してブロックすることもできます。また、フィッシングメールやその他の種類のサイバー攻撃を阻止することもできます。

    後者は、脅威に焦点を合わせたNGFWとしても知られています。 これらのファイアウォールは、一般的な新世代ファイアウォールのすべての可能性に加えて、高度な脅威検出を提供します。 CiscoのFirepowerモデルは、脅威に焦点を合わせたNGFWの典型的な例です。

    人気のファイアウォールベンダー

    今日の企業は、セキュリティフレームワークのコア要素としてNGFWを劇的に好んでいます。

    これらの製品の違いは、他のセキュリティアプライアンスと同じです。 価格、パフォーマンス、使いやすさなどの属性–企業は、NGFWソリューションを購入する際に、これらすべてを考慮に入れます。

    そのため、ファイアウォールベンダーを、それらが管理する市場規模別に確認します。

    CiscoFirepower次世代ファイアウォール

    シスコの次世代ファイアウォールは、その完全なスペクトルの脅威保護に誇りを持っています。 (意味–攻撃前、攻撃中、攻撃後。)

    彼らのハードウェアソリューションには、高度なマルウェア保護サンドボックス、および次世代の侵入防止システムが組み込まれています。 サンドボックス化とは、ファイアウォールが潜在的に危険なアプリケーションを「サンドボックス」に配置することを意味します。これにより、アプリケーションがネットワークに到達できない安全な環境に隔離されます。

    さらにクールなのは、NGFWが1日以内に感染を検出できると同社が主張していることです。

    彼らの研究では感染から検出までの中央値が100日であること示されているため、これは便利な機能です。

    ただし、これらすべての追加機能は安くはありません。 それらの価格は、Cisco Firepower4150で175,000ドルを超える可能性があります。

    パロアルトネットワークス

    パロアルトネットワークスNGFWは、「ネットワーク遅延にほとんどまたはまったく影響を与えない」高速ネットワークをユーザーに提供します。 彼らのネットワークファイアウォールは、GlobalProtectシステムのおかげで、世界中のどこからでもネットワークにログオンするすべてのデバイスを保護できます。

    当然、ウイルス、ワーム、その他の悪意のあるアプリからの保護が付属しています。

    彼らの製品の価格は上層部にありますが、あなたが見返りに得るセキュリティの質もそうです。

    フォーティネットのFortiGate

    より手頃なオプションでありながら、セキュリティを損なうことなく、フォーティネットNGFWは優れたオプションです。 FortiGateという名前のこのネットワークファイアウォールには、実際のセキュリティスタッフの必要性を減らすことができる自動化機能が付属しています

    FortiGateは、「超低」レイテンシと独自に認定された脅威インテリジェンスアップデートを提供するとも主張しています。

    彼らのモデルは競合他社よりも少し安いですが、それでも年間最大50万ドルの費用がかかるモデルもあります。

    チェック・ポイント・ソフトウェア・テクノロジーズ

    チェック・ポイントのNGFWは、統合された管理コンソールで際立っています。 すべてのネットワーク(クラウドベースを含む)を集中管理できます。 これにより、ネットワークのセキュリティ管理が容易になります。

    このネットワークファイアウォールは、ランサムウェア、ゼロデイエクスプロイト、およびその他の多くのサイバー攻撃から保護します。 チェックポイントの次世代ファイアウォールは、IPS、VPN、アプリ制御などの従来のNGFW機能に基づいて構築されています。 さらに、Checkpointは、パブリッククラウドとプライベートクラウドの両方に仮想ファイアウォールなどの重要な改善を追加します。

    フォーティネットの他の利点の1つは、製品がより手頃な価格であるということです。

    これら4社は、ファイアウォール業界の「リーダー」として際立っています。

    要約

    ファイアウォールとは何か、その仕組み、およびさまざまな種類のファイアウォールの基本について説明しました どちらのタイプのネットワークファイアウォールを選択しても、それがシステムの入口と出口にあります。

    あなたが企業、SMB所有者、または単なる通常のジョーを担当しているかどうかに関係なく、ファイアウォールを持つことは必須です。 これがないと、ネットワークはあらゆる種類のサイバー攻撃に対して脆弱になります。

    ありがたいことに、ソフトウェア、ハードウェア、またはその両方から選択できるオプションがたくさんあります。

    オンラインで安全を確保してください。次回お会いしましょう。

    よくある質問

    コンピューターのファイアウォールとは何ですか?

    ファイアウォールは、不要なトラフィックや悪意のあるアプリからコンピューターを保護するソフトウェアソリューションです。 これは、データパケットのフィルターとして機能し、ユーザー定義のルールに基づいて、接続へのアクセスを許可または拒否します。 ファイアウォールは、着信トラフィックと発信トラフィックの両方で機能します。

    ファイアウォールの機能は何ですか?

    ネットワークファイアウォールには、悪意のあるデータパケットからのネットワークへのアクセスを拒否するという1つの主要な機能があります。 それでも、ほとんどのファイアウォールは、マルウェア対策保護、すべてのセキュリティ管理の統合など、他の多くの目的を果たします。

    今日、ほとんどの企業は、多目的ネットワークセキュリティソリューションである次世代ファイアウォール(NGFW)を使用しています。 これらは、一般的なファイアウォール機能に加えて、ウイルス対策ソフトウェアやマルウェア対策などの追加ツールを備えています。 これにより、企業やSMBが利用できるユニバーサルセキュリティレイヤーが作成されます。

    そうは言っても、平均的なジョーもファイアウォールの恩恵を受けることができます。 パーソナルファイアウォールは、多くのセキュリティツールを提供していません。これは、ほとんどの場合、それらを必要としないためです。 企業ははるかに魅力的なターゲットであり、ほとんどの人が決して必要としないファイアウォールセキュリティの追加のエッジを保証します。

    ファイアウォールの3つのタイプは何ですか?

    実際には、5つの異なるタイプのファイアウォールがあります。

    パケットフィルタリングファイアウォール
    ステートフルファイアウォール
    アプリケーションレベルゲートウェイ(またはプロキシサーバーファイアウォール)
    回路レベルのゲートウェイ
    次世代ファイアウォール(NGFW)

    企業は主に、2つ以上のタイプのファイアウォールとそれに加えていくつかの追加のセキュリティ機能を組み合わせた次世代ファイアウォールを使用しています。

    次に、各タイプのファイアウォールがどのように機能するかを示します。

    パケットフィルタリングファイアウォール:

    これらは、各着信および発信データパケットを一連のルールと比較することにより、ネットワークへのアクセスを制御します。 これらのルールはユーザー定義であり、ネットワークへの出入りが許可されているIP、ポート、およびプロトコルに関連しています。

    ステートフルファイアウォール:

    ステートフルファイアウォールは、パケットフィルタリングよりも安全で高速であり、通信プロセス全体を通じてデータパケットの状態を検査します。 先ほど述べたあまり洗練されていないいとことは異なり、これらのファイアウォールは、受信データまたは送信データのヘッダーとプロキシをチェックするため、プロセスがより高速で安全になります。

    回路レベルのゲートウェイ

    これらのファイアウォールは、アプリケーション層(これについては後で詳しく説明します)とトランスポート層の間で機能します。 彼らはTCPハンドシェイクを監視して、セッションがネットワークに到達できるかどうかを検証します。 これらは、プロキシとクライアントの間に仮想回線を作成します。 これは、プロキシサーバーを使用してネットワークを非表示および保護する回線レベルゲートウェイとアプリケーションレベルゲートウェイの違いの1つです。

    ただし、回線レベルのゲートウェイは個々のデータパケットをフィルタリングしません。

    アプリケーションレベルゲートウェイ

    このファイアウォールは、基本的なタイプのファイアウォールの中で最も安全です。 データを分析し、通信だけでなく悪意のあるアプリもブロックできます。 このファイアウォールは、プロキシサーバーを使用することにより、ユーザーのIPアドレスをマスクし、ネットワークの全体的なセキュリティをさらに向上させます。 そして結局のところ、それがファイアウォールのすべてです。