ネットワークセキュリティ
ファイアウォール
別称: ネットワークファイアウォール
定義
定義されたルールセットに基づき、受信および送信トラフィックを監視・制御し、信頼ネットワークと非信頼ネットワークを分離するネットワークセキュリティ機器またはソフトウェア。
ファイアウォールは、パケットを検査し、送信元/宛先 IP アドレス、ポート、プロトコルなどに基づくルールに従って許可・拒否・ログ記録することで、ネットワーク境界にアクセス制御ポリシーを適用します。ルータ上の単純なパケットフィルタから、専用アプライアンス、ホスト型ソフトウェアまで存在し、多層防御アーキテクチャにおける基礎的な境界制御です。最新の運用では、NAT・VPN 終端・IDS/IPS・アプリケーション識別と組み合わせて使用されます。効果的な運用には、最小権限ルール、定期的なレビュー、変更管理、ロギング、そして監視ツールとの連携が不可欠です。
例
- インターネットからの受信 SMB(TCP/445)をブロックする pfSense アプライアンス。
- ロードバランサからアプリケーションサーバへの HTTPS のみを許可する AWS セキュリティグループ。
関連用語
次世代ファイアウォール(NGFW)
ステートフル検査に加えて、アプリケーション識別・統合 IPS・ユーザー識別・TLS 復号を組み合わせ、よりきめ細かなポリシーを適用する先進的なファイアウォール。
Web アプリケーションファイアウォール(WAF)
リバースプロキシ型のフィルタとして HTTP/HTTPS トラフィックを検査し、SQL インジェクションや XSS、ボットによる不正利用などの Web 攻撃をアプリ到達前に遮断する。
ステートフルファイアウォール
アクティブな接続の状態をコネクションテーブルで追跡し、確立済みセッションと一致する戻りトラフィックを自動的に許可するファイアウォール。
パケットフィルタリング
各パケットのヘッダフィールドを検査し、静的なルールセットに従って通過または破棄を決定するネットワークセキュリティ技術。
侵入防止システム(IPS)
データパスにインラインで配置され、悪意のあるトラフィックを検知してリアルタイムに遮断・リセット・浄化する能動的なセキュリティ統制。
Demilitarized Zone (DMZ)
Demilitarized Zone (DMZ) — definition coming soon.