ネットワークセキュリティ
次世代ファイアウォール(NGFW)
別称: NGFW
定義
ステートフル検査に加えて、アプリケーション識別・統合 IPS・ユーザー識別・TLS 復号を組み合わせ、よりきめ細かなポリシーを適用する先進的なファイアウォール。
次世代ファイアウォール(NGFW)は、従来のポート/プロトコルによるフィルタリングに加えて、ディープパケットインスペクション、アプリケーション識別(App-ID)、ユーザー識別、統合型 IPS、脅威インテリジェンスフィードを備えます。NGFW は TLS を復号して暗号化トラフィックにもポリシーを適用し、URL カテゴリ、マルウェアシグネチャ、レピュテーションデータを利用して既知の悪性トラフィックを遮断します。主なベンダーは Palo Alto Networks、Fortinet、Cisco などで、SASE スタックの一部としてクラウド配信される形態も増えています。導入時には、TLS 復号のプライバシー・性能・証明書設計、アプリケーション/IPS ルールのチューニング、境界だけでなく東西方向のトラフィックの可視化が重要です。
例
- Palo Alto NGFW が App-ID を用い、ポートに依らず BitTorrent を遮断する。
- NGFW が外向き TLS を復号し、内蔵 IPS が検知したダウンロードを隔離する。
関連用語
ファイアウォール
定義されたルールセットに基づき、受信および送信トラフィックを監視・制御し、信頼ネットワークと非信頼ネットワークを分離するネットワークセキュリティ機器またはソフトウェア。
ディープパケットインスペクション(DPI)
ヘッダだけでなくパケットのペイロード全体を検査し、アプリケーション・コンテンツ・脅威を識別する技術。
侵入防止システム(IPS)
データパスにインラインで配置され、悪意のあるトラフィックを検知してリアルタイムに遮断・リセット・浄化する能動的なセキュリティ統制。
Web アプリケーションファイアウォール(WAF)
リバースプロキシ型のフィルタとして HTTP/HTTPS トラフィックを検査し、SQL インジェクションや XSS、ボットによる不正利用などの Web 攻撃をアプリ到達前に遮断する。
ステートフルファイアウォール
アクティブな接続の状態をコネクションテーブルで追跡し、確立済みセッションと一致する戻りトラフィックを自動的に許可するファイアウォール。
Zero Trust Network
Zero Trust Network — definition coming soon.