ファイアウォール.

ファイアウォールは、パケットを検査し、送信元/宛先 IP アドレス・ポート・プロトコルを参照するルールに従って許可・拒否・ログ記録を行うことで、ネットワーク境界にアクセス制御ポリシーを適用します。この技術は 3 世代を経て進化してきました。各パケットを単独で判定するステートレスなパケットフィルタ、1994 年に Check Point FireWall-1 が先駆けとなり、接続状態を追跡して戻りトラフィックを確立済みセッションに対応付けるステートフルインスペクション、そしてアプリケーション識別・TLS インスペクション・ユーザー認識・統合 IPS を追加する次世代ファイアウォール(NGFW)です。

境界型ファイアウォールにはよく知られた盲点があります。フラットなネットワーク内部で暗号化された東西トラフィックを検査できず、許可が緩いルールや隠れたルールが 1 つあるだけでポリシー全体が破綻しかねません。実環境における最も支配的な障害原因は設定ミスです。約 1 億件の記録が流出した 2019 年の Capital One 侵害は、許可範囲が過大な Web アプリケーションファイアウォールのロールが SSRF で悪用され、クラウドのメタデータに到達されたことに端を発しています。効果的な運用には、デフォルト拒否のルールベース、最小権限のルール、古いエントリを削除するための定期的な再認証、変更管理、そしてドリフトや横展開を検知するために SIEM へ集約された一元的なロギングが必要です。最新の設計では、単一の堅固な境界に依存するのではなく、ファイアウォールをマイクロセグメンテーションやゼロトラストゲートウェイと組み合わせます。

flowchart TD
  P["受信パケット"] --> S{"状態テーブルに一致?"}
  S -- "はい" --> A["確立済みフローを許可"]
  S -- "いいえ" --> R{"ルールに一致?"}
  R -- "許可" --> L["許可・ログ記録・状態テーブルに追加"]
  R -- "拒否" --> D["ドロップまたはリジェクト・ログ記録"]
  R -- "一致なし" --> DD["デフォルト拒否"]