ネットワークの安全性の維持

ネットワーク攻撃の軽減

ネットワークに接続された個々のコンピュータとサーバを保護することに加えて、ネットワークを行き来するトラフィックを制御することが大切です。

ファイアウォールは、内部のネットワーク ユーザを外部の脅威から守る最も効果的なセキュリティ ツールの 1 つです。 ファイアウォールは、複数のネットワークの間に介在してその間のトラフィックを制御し、不正アクセスの防止にも役立ちます。 ファイアウォール製品では、さまざまなテクニックを使用して、ネットワークへのアクセスの許可または拒絶を判断しています。 そうした技法を次に示します。

• パケット フィルタリング - IP アドレスや MAC アドレスに基づいてアクセスを拒否または許可します。

• アプリケーション フィルタリング - ポート番号に基づいて特定のアプリケーションによるアクセスを拒否または許可します。

• URL フィルタリング - 特定の URL またはキーワードに基づいて Web サイトへのアクセスを拒否または許可します。

• ステートフル パケット インスペクション（Stateful Packet Inspection; SPI） - 着信パケットは、内部ホストからの要求に対する正当な応答でなければなりません。 特別に許可されている場合を除き、勝手に送られてくるパケットはブロックされます。 SPI には、DoS 攻撃のような特定の種類の攻撃を認識し、フィルタを適用して除外する機能を含めることができます。

ファイアウォール製品によっては、このようなフィルタリング機能を 1 つ以上サポートしている場合があります。 また、ファイアウォールでは多くの場合、ネットワーク アドレス変換（Network Address Translation; NAT）が実行されます。 NAT では、内部 IP アドレス（または IP アドレスのグループ）が、ネットワークに送信される外部のパブリック IP アドレスに変換されます。 これにより、内部 IP アドレスを外部ユーザから隠すことができます。

ファイアウォール製品は、図に示すように、さまざまな形でパッケージングされています。

• アプライアンス ベースのファイアウォール：セキュリティ アプライアンスという専用のハードウェア デバイスに組み込まれたファイアウォールです。

• サーバ ベースのファイアウォール：UNIX、Windows などのネットワーク OS（NOS）で実行されるファイアウォール アプリケーションで構成されます。

• 統合型ファイアウォール：ルータなどの既存のデバイスにファイアウォール機能を追加することで実現されます。

• パーソナル ファイアウォール：ホスト コンピュータに常駐するもので、LAN 実装のためのものではありません。 デフォルトで OS に用意されている場合もあれば、外部のベンダーから入手できる場合もあります。