ネットワークセキュリティ
ステートフルファイアウォール
別称: ステートフルインスペクション
定義
アクティブな接続の状態をコネクションテーブルで追跡し、確立済みセッションと一致する戻りトラフィックを自動的に許可するファイアウォール。
ステートフルファイアウォールは、各フローの 5 タプル(送信元/宛先 IP、送信元/宛先ポート、プロトコル)と TCP フラグまたは UDP/ICMP の疑似状態を記録するコネクションテーブルを維持します。外向きセッションが許可されると、対応する戻りパケットは明示的な逆方向ルールがなくても自動的に通過します。これによりルールセットが大幅に簡素化され、無状態フィルタを通過してしまう偽装パケットの多くを阻止できますが、メモリ・CPU を消費し、SYN flood やセッションテーブル攻撃で枯渇する恐れもあります。ステートフルインスペクションは現代の企業向けファイアウォールの基礎であり、NGFW のアプリケーション識別などの機能の土台です。
例
- Linux の iptables が conntrack を使い ESTABLISHED,RELATED の戻りトラフィックを許可する設定。
- Cisco ASA が外向き HTTP フローを追跡し、応答パケットを自動的に通す。
関連用語
ファイアウォール
定義されたルールセットに基づき、受信および送信トラフィックを監視・制御し、信頼ネットワークと非信頼ネットワークを分離するネットワークセキュリティ機器またはソフトウェア。
ステートレスファイアウォール
接続状態を追跡せず、各パケットを静的ルールに基づいて個別に評価するファイアウォール。
パケットフィルタリング
各パケットのヘッダフィールドを検査し、静的なルールセットに従って通過または破棄を決定するネットワークセキュリティ技術。
次世代ファイアウォール(NGFW)
ステートフル検査に加えて、アプリケーション識別・統合 IPS・ユーザー識別・TLS 復号を組み合わせ、よりきめ細かなポリシーを適用する先進的なファイアウォール。
SYN フラッド
TCP の 3 ウェイハンドシェイクを完了させずに大量の SYN パケットを送り付け、標的の接続状態リソースを枯渇させる DoS 攻撃。
ディープパケットインスペクション(DPI)
ヘッダだけでなくパケットのペイロード全体を検査し、アプリケーション・コンテンツ・脅威を識別する技術。