ネットワークセキュリティ
ステートレスファイアウォール
別称: パケットフィルタ型ファイアウォール
定義
接続状態を追跡せず、各パケットを静的ルールに基づいて個別に評価するファイアウォール。
ステートレスファイアウォールは、各パケットを単独で検査し、送信元/宛先 IP、ポート、プロトコルなどヘッダフィールドに基づくルールを適用しますが、過去のフローや接続状態の記録は保持しません。そのため非常に高速かつ省メモリで、ISP のエッジ、ルータ/スイッチの ACL、AWS Network ACL のような高スループット環境に向いています。一方で、各フローの双方向を明示的にルール化する必要があり、送信元偽装やフラグメント、セッション文脈を悪用する攻撃に対しては弱くなりがちです。現代の設計では、エッジに無状態 ACL、その内側にステートフルファイアウォールを置く多層構成が一般的です。
例
- AWS Network ACL が 0.0.0.0/0 からのポート 22 への受信トラフィックを遮断する。
- ルータの ACL が二つのサブネット間の TCP/443 のみを許可し、双方向に明示的に設定される。
関連用語
ファイアウォール
定義されたルールセットに基づき、受信および送信トラフィックを監視・制御し、信頼ネットワークと非信頼ネットワークを分離するネットワークセキュリティ機器またはソフトウェア。
ステートフルファイアウォール
アクティブな接続の状態をコネクションテーブルで追跡し、確立済みセッションと一致する戻りトラフィックを自動的に許可するファイアウォール。
パケットフィルタリング
各パケットのヘッダフィールドを検査し、静的なルールセットに従って通過または破棄を決定するネットワークセキュリティ技術。
IP スプーフィング
ネットワークパケットの送信元 IP を偽装し、他ホストへのなりすまし、フィルタ回避、DoS 増幅に利用する攻撃。
Demilitarized Zone (DMZ)
Demilitarized Zone (DMZ) — definition coming soon.
Network Segmentation
Network Segmentation — definition coming soon.