次世代ファイアウォール

次世代ファイアウォール（英語: Next-generation firewall、NGFW）は、第3世代のファイアウォール技術の一部であり、従来のファイアウォールにインラインディープパケットインスペクション（DPI）を用いたアプリケーションファイアウォールや侵入防止システム（IPS）など、他のネットワーク機器のフィルタリング機能を組み合わせたものである。また、TLS/SSL暗号化トラフィック検査、Webサイトフィルタリング、QoS/帯域制御、アンチウィルスソフトウェア、サードパーティのアイデンティティ管理（LDAP、RADIUS、Active Directory）との統合などの技術も採用されている^[1]。

従来のファイアウォールとの違い

NGFWは、パケットフィルタリング^[2]、ネットワークおよびポートアドレス変換（ネットワークアドレス変換）、ステートフルインスペクション、Virtual Private Network（VPN）サポートなど、従来のファイアウォールの一般的な機能が含まれている。次世代ファイアウォールの目標は、OSIモデルレイヤーの対応範囲を増やし、パケットの内容に依存するネットワークトラフィックのフィルタリングの改善にある。

NGFWは、第1世代、第2世代のファイアウォールが行っていたステートフルインスペクションと比較して、より詳細な検査を実行する^[3]。パケットのペイロードやシグネチャの一致を確認し、悪意のある攻撃やマルウェアなどの有害な活動をチェックする^[4]。

経緯

Webベースのマルウェア攻撃、標的型攻撃、アプリケーション層攻撃などの最新の脅威は、重大な影響を及ぼしている。実際、すべての新しいマルウェアによる侵入の試みの80％以上が、ネットワークコンポーネントとサービスの弱点ではなく、アプリケーションの弱点を悪用している。

単純なパケットフィルタリング機能を備えたステートフルファイアウォールは、ほとんどのアプリケーションのポートとプロトコルが期待する値に対応していた場合には、不要なアプリケーションを効率的にブロックできていた。アプリケーションとポートの対応がはっきりしているならば、管理者は関連するポートとプロトコルをブロックすることによって、ユーザーが安全でないアプリケーションにアクセスしてしまうことを迅速に防ぐことができていた。しかし80番ポートなどを使うウェブアプリケーションはポート番号のみではアプリケーションが特定できないため、意図したアプリケーションのアクセス制御はポート番号のみではできない。しかしこの問題をポート番号だけで制御できるようにHTTPプロトコルを変更するとなると、プロトコル全体が複雑になってしまう。

ポート、プロトコル、IPアドレスに基づく保護は、もはや信頼性や実効性に欠けている。このため、IPアドレスやポート番号セキュリティを結びつける従来のセキュリティアプライアンスよりも一歩進んだ、IDベースのセキュリティアプローチが開発されている。

NGFWは、管理者が個々のアプリケーションのより深く認識し、制御できるようにするとともに、ファイアウォールによる深い検査機能を提供します。管理者は、ネットワーク内のWebサイトおよびアプリケーションの使用を制御するための非常にきめ細かい許可と拒否のルールを作成できる。

脚注

1. ^ Intro to Next Generation Firewalls - 2011年9月6日 Eric Geier著
2. ^ Next gen security - 2012年8月7日 Ben Rossi著
3. ^ Next-generation firewalls: Security without compromising performance - 2012年10月17日 Patrick Sweeney著
4. ^ Next-Generation Firewalls 101 - 2013年3月1日 Frank J. Ohlhorst著

参考文献

• How to build your next-generation firewall at home

関連項目

• ネットワーク・セキュリティ
• 統合脅威管理