ファイアウォールとは: 定義、用途、利点

公開: 2023-02-12

コンピューター ネットワークが自分の城である場合、ネットワーク ファイアウォールはポートカリスです。これは、送受信されるネットワーク トラフィックの流れを規制するメイン ゲートです。 これは、一部はバリアであり、一部はスクリーニング メカニズムであり、ネットワークをサードパーティ ネットワークから分離し、不正アクセスをブロックします。

ファイアウォールとは何かという質問に答えるために、このガイドでは、ファイアウォールの利点、サイバー防御を強化する仕組み、およびネットワークの監視に使用できるさまざまな種類のファイアウォールについて詳しく説明します。

目次
1.ファイアウォールとは?
2.パケットとファイアウォール
3.ファイアウォールの利点
4.ファイアウォール ポリシーとルールセット
4.1. 堅牢なポリシーとルールセットをどのように作成しますか?
5.ファイアウォールの種類
6. WP Engine 独自のファイアウォール

ファイアウォールとは

19 世紀には、防火壁は建物から建物への延焼を防ぐための物理的な障壁でした。 その後、自動車でエンジン ルームと客室を隔てるのは金属製のバリアでした。

このフレーズは、信頼できるネットワークとインターネットのような信頼できないネットワークとの間に障壁を置くデジタル セキュリティ システムを指すために、最終的にコンピューティング業界によって採用されました。

技術的に言えば、ファイアウォールはサイバーセキュリティ フレームワークの最外層です。 ネットワーク トラフィックの流入と流出を監視し、定義された一連のセキュリティ ルールに従ってデータ パケットが許可または制限されているかどうかを判断します。

悪意のあるトラフィックに対する防御の最前線として、ファイアウォールはネットワーク エントリ ポイント (ポート) を保護します。ここで、外部デバイスとデータが交換される可能性があります。 インターネット ソースからリクエストしたすべてのデータ ファイルは、ファイアウォールによってログに記録され、処理されます。

パケットとファイアウォール

ファイアウォールの最も基本的な形式は、パケット フィルタリング ファイアウォールです。 しかし、それがどのように機能するかを理解するには、まずパケットを定義する必要があります。

インターネット経由でデータを送信するには、データ ファイルを小さな断片に分割する必要があります。通常は 500 バイトから 64 KB の範囲で、平均サイズは 1500 バイトです。 これらは、伝送制御プロトコル/インターネット プロトコル (TCP/IP) ネットワークを介して送信されるデータの断片であるデータ パケットと呼ばれます。

それらを最終的な形に組み立てる前に、ファイアウォールは各データ パケットを分析し、ネットワーク内のデバイスまたはシステムが実際にそれを要求したことを確認する必要があります。

この例では、ファイアウォールをコンサートの警備員と考えてください。 会場に入るために、チョークポイントを通り抜け、チケットと身分証明書を提示し、金属探知機を通過するように求められる場合があります。 ファイアウォールも同様に機能し、各データ パケットを精査して次のことを判断します。

  • どこへ行くのか
  • どこから生まれたのか
  • 許可するか、拒否するか、ドロップするか

拒否された場合、データ パケットは送信者に返されます。 しかし、データ パケットがドロップされる可能性が高いシナリオでは、データは完全に消失します。

ファイアウォールの利点

ファイアウォール セキュリティの利点を理解することは、悪意のある人物や悪意のある活動からネットワークを安全に保つ方法です。 ファイアウォールは、サイバーセキュリティ防御の 1 つの側面としてしか機能しない可能性がありますが、次の点で重要な役割を果たします。

  • ネットワーク トラフィックの監視– ファイアウォールは、着信および発信アクティビティを選別します。 事前設定されたルールとフィルターを使用してネットワーク トラフィックを監視し、すべてのデータの正当性を評価します。 ファイアウォールが疑わしいアクティビティを検出すると、その侵入を即座に阻止します。
  • 悪意のあるアクティビティの防止と特定- マルウェアとウイルスは、ネットワーク セキュリティに対する常に存在する脅威です。 ハッカーはこれらの悪質なツールを使用して、ユーザーのアクティビティを密かに監視したり、個人データを収集したり、システムを制御したりできます。 ファイアウォールは、この種の攻撃による不正アクセスを阻止できます。 または、進行中のハッキング活動を検出した場合、脅威を排除するよう通知します。 ファイアウォール セキュリティのフロント エンド開発により、ユーザーは自分のネットワーク セキュリティを簡単にナビゲートできるようになりました。 フロントエンド開発者のキャリアや平均的なフロントエンド開発者の給与に慣れていない場合は、リソース センターを利用して、この仕事の内容に慣れることができます。
  • 発信データを制限する– ファイアウォールは、ネットワークに出入りするトラフィックを制限できます。 こうすることで、ハッカーや悪意のあるコードが侵入に成功した場合でも、システムは適切な承認なしにデータがシステムから流出するのを防ぐことで、その影響を制限できます。
  • プライバシーの強化– サイバーセキュリティの世界では、データのプライバシーは最優先事項です。 支払いデータや医療記録などの機密性の高い個人情報を保存する場合は特に重要です。 このような場合、ファイアウォールを設置することは、組織がセキュリティを強化し、プライバシーを維持するために講じなければならないいくつかのコンプライアンス手順の 1 つにすぎません。

ファイアウォール ポリシーとルールセット

ファイアウォールは、事前に確立されたポリシーとルールセットを参照して、パケットを受け入れるか、拒否するか、またはドロップするかを決定します。 意図したとおりに機能させるには、セキュリティ ポリシーで、ファイアウォールが IP アドレス、アドレス範囲、アプリケーション、プロトコル、コンテンツ タイプなどのさまざまな要因に関連するトラフィックを処理する方法を明確に定義する必要があります。 米国国立標準技術研究所 (NIST) のファイアウォールおよびファイアウォール ポリシーに関するガイドライン:

「ポリシー要件の例には、必要なインターネット プロトコル (IP) プロトコルのみを通過させること、適切な送信元および宛先 IP アドレスを使用すること、特定の伝送制御プロトコル (TCP) およびユーザー データグラム プロトコル (UDP) ポートにアクセスすること、および特定のインターネットにアクセスすることを許可することが含まれます。使用するコントロール メッセージ プロトコル (ICMP) のタイプとコード。

ほとんどのルールセットでは、ファイアウォール ポリシーで明示的に許可されているトラフィックを除いて、すべてのトラフィックを制限することをお勧めします。 これにより、攻撃が発生する可能性が低くなります。 また、ネットワークのトラフィック量も減少します。

堅牢なポリシーとルールセットをどのように作成しますか?

NIST フレームワークは、次の 3 つの具体的なアクションを推奨しています。

  1. 実装するファイアウォールのタイプを決定する際に考慮する必要があるすべての要件を特定します。
  2. ファイアウォールのパフォーマンスを損なうことなく、ファイアウォール ポリシーに一致するルールセットを設計します。
  3. ファイアウォール アーキテクチャ、ポリシー、およびソフトウェアをライフサイクル全体にわたって管理し、ファイアウォールを定期的に更新、監査、パッチ適用して、組織のニーズに合わせます。

ファイアウォールの種類

ファイアウォールは、ソフトウェア (ホストベース) またはハードウェア (ネットワークベース) の 2 つのカテゴリのいずれかに分類されます。

ソフトウェア ファイアウォールは、ポート番号とアプリケーションを介して着信トラフィックを規制するデバイスにインストールされるプログラムですが、ハードウェア ファイアウォールは、ネットワークとゲートウェイを分離するためにインストールされる物理デバイスです。 ボストン大学によると:

「ネットワークベースのファイアウォールは、ネットワークの境界またはエッジにインストールして、企業をインターネット上のホストから保護したり、内部でコミュニティの 1 つのセグメントを別のセグメントから保護したりして、企業システムと住宅システムを分離したり、研究を行ったりすることができます。マーケティングシステムからのシステム。

また、ここ数年で出現したファイアウォールのサブカテゴリもいくつかあります。

  • ステートフル インスペクション ファイアウォール– ファイアウォールがどのように機能するかを最初に説明したとき、これについて言及しました。 ステートフル インスペクション ファイアウォールは、状態、ポート、およびプロトコルに従ってトラフィックを制限または許可します。 しかし、「ステートフル」と見なされるには、単にルールセットを持つだけでは十分ではありません。 また、トラフィックの履歴記録も保持する必要があります。 その情報を備えたファイアウォールは、パケットが通過するかどうかについて、より複雑で状況に応じた決定を下すことができます。
  • プロキシ ファイアウォール– ゲートウェイ ファイアウォールまたはアプリケーション ファイアウォールとも呼ばれるプロキシ ファイアウォールは、コンピューターとインターネット サーバー間の仲介役として機能します。 アプリケーション レベルでリクエストをキャッシュ、フィルタリング、ロギング、および制御することで、コア インターネット プロトコルの送受信トラフィックを保護します。 これは、ネットワークがシステムに自動的かつ直接的に接続するのを防ぐため、ファイアウォールの最も安全な形式の 1 つと考えられています。
  • 次世代ファイアウォール (NGFW) – 名前が示すように、ファイアウォール テクノロジは数十年にわたって進歩し、従来のテクノロジ (ステートフル インスペクションとパケット フィルタリング) と最新のツールを組み合わせています。 NGFW は以下を提供します。
    • 暗号化トラフィック検査
    • 侵入防止システム
    • ウイルス対策
    • ディープ パケット インスペクション
    • 今後の情報フィードのアップグレード パス
  • 脅威に焦点を当てた NGFW – このタイプのファイアウォールは、GFW の機能と高度な脅威の検出および修復を組み合わせたものです。 これらのシステムは、写真やビデオなどのリスクのある資産の特定、疑わしいアクティビティの検出、攻撃への対応に役立ちます。 デジタル アセットの不正使用にフラグを付ける方法がわからない場合は、Google 画像逆検索を実行して、他のサイトで再公開されているかどうかを確認できます。
  • ネットワーク アドレス変換 (NAT) ファイアウォール– NAT ファイアウォールにより、独立したアドレスを持つ複数のデバイスが、個々の IP アドレスを明らかにすることなく、同じ IP アドレスを使用してインターネットに接続できます。 これにより、匿名性とセキュリティがさらに強化されます。
  • 仮想ファイアウォール– 通常、仮想ファイアウォールは、プライベート クラウドまたはパブリック クラウド インフラストラクチャ内に仮想アプライアンスとして展開され、物理ネットワークと仮想ネットワークの両方でトラフィックを監視および保護します。

WP Engine 独自のファイアウォール

ファイアウォールは、企業のサイバー防御の最前線です。 ネットワークを保護する上で重要な役割を果たします。 ファイアウォールは、トラフィックを監視、スクリーニング、および制限することで、許可されたデータのみがアクセスできるようにします。

WP Engine では、ウェブサイトのパフォーマンスを妨げることなく、安全な WordPress ホスティング環境を作成するための堅牢なセキュリティ対策を導入することを目指しています. 私たちのチームは、毎年 260 億件を超える攻撃をブロックするハッカーを防ぐために、最高のファイアウォールの 1 つを使用しています。 プロアクティブな脅威検出と、多数のプラグイン、コア、および PHP の更新を備えたシステムは、適切なトラフィック、悪いトラフィック、および悪意のあるトラフィックを自動的に検出して転送します。

しかし、システムは自動化されているだけではありません。 また、リスクとコンプライアンスの状況を継続的に監視するために、クラス最高の標準を実践するライブ セキュリティ チームも提供します。 セキュリティ上の問題が発生した場合は、プロアクティブなアラートを提供して、悪意のある人物を追跡で阻止できるようにします。

エンタープライズ レベルのソリューションが必要ですか? 当社のグローバル エッジ セキュリティは以下を提供します。

  • マネージド ウェブ アプリケーション ファイアウォール (WAF)
  • 高度な DDOS 緩和
  • Cloudflare CDN
  • SSL インストール

専用の高度なセキュリティを備えた WP Engine は、エンタープライズ WordPress Web サイトに必要な、より優れた、高速で安全な機能を提供します。

当社は、世界中の 170,000 を超えるお客様から信頼されています。 では、今こそ移行するときではないでしょうか。

ソース:

  • テックターゲット。 ネットワーク パケットとはそして、それらはどのように機能しますか? https://www.techtarget.com/searchnetworking/definition/packet
  • NIST。 ファイアウォールおよびファイアウォール ポリシーに関するガイドライン。 https://www.govinfo.gov/content/pkg/GOVPUB-C13-f52fdee3827e2f5d903fa8b4b66d4855/pdf/GOVPUB-C13-f52fdee3827e2f5d903fa8b4b66d4855.pdf
  • ボストン大学。 ファイアウォールのしくみ。 https://www.bu.edu/tech/about/security-resources/host-based/intro/