とは

ファイアウォール

?

ファイアウォールの歴史

デジタル・イクイップメント・コーポレーションは、1988年に最初のファイアウォールを開発しました。これは単純なパケットフィルターファイアウォールでした。パケットフィルターファイアウォールは、送信元と送信先の間を通過するデータパケットを検査します。パケットがセキュリティルールに一致すると、ファイアウォールはそのパケットをドロップし、送信元にエラーレスポンスを送信します。

90年代初頭、ベル研究所は第2世代のファイアウォールを発明しました。これらのファイアウォールはステートフルフィルターを使用しており、サーキットレベルゲートウェイとも呼ばれていました。それらは第1世代のファイアウォールと同様に機能しましたが、アップグレードされたバージョンでした。ステートフルフィルタリングを備えたファイアウォールは、以前のパケットに関する情報を記憶し、コンテキストを使用してセキュリティを強化します。

アプリケーション層では、ファイアウォールでフィルタリングされた第3世代のインターネットトラフィックが使用されました。最初のバージョンは 1993 年にリリースされ、ファイアウォール・ツールキット (FWTK) と呼ばれていました。これらのファイアウォールは初めてユーザーフレンドリーになり、技術者でなくてもファイアウォールのルールを設定できるようになりました。また、アプリケーションとプロトコルについても理解しており、信頼できるソースから送られてくる悪意のあるデータをターゲットにしたアプリケーションのように、パケットフィルタリングがすり抜ける脅威を防ぐこともできました。

それ以来、ファイアウォール技術には多くの進歩がありました。ほとんどのファイアウォールは今でもアプリケーション層分析を使用していますが、分析に使用される手法は改善されています。次に、最新のファイアウォールの一般的なタイプを見てみましょう。

ファイアウォールの種類

すべてのファイアウォールの目的はネットワークを悪意のあるトラフィックから保護することですが、ファイアウォールはさまざまな方法でこれを実現でき、有効性のレベルも異なります。ネットワークがさらされる脅威の種類は、長年にわたって進化と増加を続けており、それに追いつくためにファイアウォールのテクノロジーも変化してきました。

パケットフィルタリング

最初のファイアウォールはパケットフィルタリングを使用していました。パケットフィルターファイアウォールは、アクセスコントロールリストを使用してデータパケットを検査し、検査対象となるパケットと、パケットがルールに一致した場合に実行されるアクションを決定します。ファイアウォールは、送信元と送信先の IP アドレス、プロトコル、送信元と送信先のポートでパケットをフィルタリングできます。ステートレスとステートフルの 2 つのカテゴリに分類されます。ステートレスパケットフィルターは履歴やコンテキストを使用してパケットが悪意のあるものであるかどうかを判断しませんが、ステートフルフィルターは悪意のあるパケットであるかどうかを判断します。

プロキシファイアウォール

プロキシファイアウォールはアプリケーションレベルのファイアウォールです。送信側システムと受信側システムの間の仲介役として機能します。リクエストはファイアウォールに送信され、ファイアウォールがトラフィックの通過を許可するかどうかが決定されます。プロキシファイアウォールは HTTP や FTP トラフィックによく使用され、悪意のあるトラフィックの検出には詳細なステートフルパケットインスペクションを使用します。

ネットワークアドレス変換 (NAT) ファイアウォール

NAT ファイアウォールは、ネットワーク上のすべてのデバイスが 1 つの IP アドレスを使用してインターネットに接続できるようにすることで、内部ネットワーク上のデバイスの IP アドレスをプライベートに保ちます。これにより、攻撃者がネットワークをスキャンして、より標的を絞った攻撃に使用できる特定のデバイスの詳細を入手することを防ぎます。NAT ファイアウォールは、プロキシファイアウォールと同様に、2 つのエンドシステム間の仲介役としても機能します。

ステートフルマルチレイヤーインスペクション (SMLI) ファイアウォール

SMLI ファイアウォールは、ネットワーク、トランスポート、およびアプリケーション層でパケットをフィルタリングし、受信パケットを既知の信頼できるパケットと比較します。SMLI ファイアウォールは各レイヤーでパケット全体をフィルタリングし、各フィルターを通過するパケットのみを許可します。ステートフルであるため、コンテキストに基づいてパケットをフィルタリングし、送信元と送信先が信頼できることも確認します。

次世代ファイアウォール (NGFW)

次世代ファイアウォールは、従来のファイアウォール機能にセキュリティ技術を追加することで、ファイアウォール技術を改善しました。これらのファイアウォールには、ウイルス対策スキャン、暗号化されたデータ検査、アプリケーション認識、クラウドで提供される脅威インテリジェンス、統合型侵入防止などの機能があります。また、ディープ・パケット・インスペクション (DPI) を使用して、従来のファイアウォールのようにヘッダーだけでなく、パケット自体に含まれるデータを調べます。

ファイアウォールだけでは不十分

ファイアウォールはビジネスの境界を保護し、外部からの攻撃からネットワークを保護しますが、最大の攻撃も多くあります データ侵害 歴史上、外部からの攻撃の結果として起こったわけではありません。これらの侵害は、フィッシング詐欺などの内部攻撃によるものでした。ファイアウォールでは、誰かが電子メールの添付ファイルをダウンロードするのを防ぐことはできません。

ファイアウォールは内部トラフィックをフィルタリングしません。つまり、攻撃者がネットワーク内に侵入すると、攻撃者は自由に動き回ることができます。ランサムウェア攻撃は、この自由さゆえに効果的であり、ネットワーク上のすべてのアプリケーションを停止させることはできません。

この問題の解決策はゼロトラストセグメンテーション、含む マイクロセグメンテーション特定のアプリケーションセグメントにセキュリティポリシーを設定することで、ネットワークをワークロードレベルまで保護できます。つまり、ネットワーク上の 1 台のマシンにアクセスできる攻撃者は、他のリソースにはアクセスできないため、脅威の水平移動を防ぐことができます。マイクロセグメンテーションはファイアウォールの欠点を補うだけでなく、ネットワーク全体に実装すれば、ファイアウォールの必要性を完全に排除できます。

結論

ファイアウォールは、送受信トラフィックを監視することにより、ネットワークを悪意のあるトラフィックから保護するために80年代後半に発明されました。このファイアウォールは、ますます巧妙化する攻撃に対応するために長年にわたって進化を続け、そのために欠かせない存在となっています。 ネットワークセキュリティ。しかし、現代の攻撃者は境界防御ファイアウォールを回避する方法を見つけ、この境界内で大規模なデータ侵害を行っています。企業は、仮想マシン、デバイス、リソースレベルでの攻撃を防ぐために、マイクロセグメンテーションなどのより高度なネットワークセキュリティを必要としています。

さらに詳しく

Assume Breach.
影響を最小限に抑えます。
レジリエンスを高めます。

Ready to learn more about Zero Trust Segmentation?