境界ファイアウォールとは?

ファイアウォール セキュリティ ソフトウェアまたはハードウェアは、ネットワークまたはネットワーク (ホスト) に接続されたコンピュータ間のネットワーク トラフィック (データの単位または「パケット」) の流れを制御します。境界ファイアウォールは、ホストまたは組織の境界または外側の境界に出入りするネットワーク トラフィックの流れを制御し、外部からの攻撃に対する防御の最前線を提供し、組織内からの不適切なコンテンツへのアクセスをブロックします。

ファイアウォール機能

境界ファイアウォールは、プライベート ネットワークの境界における主な防御です。これは、不要なトラフィック、潜在的に危険なコンテンツ、および侵入の試みを検出してネットワークを保護し、これらの脅威をネットワーク管理者に通知するために不可欠なコンポーネントです。境界ファイアウォールは、着信ネットワーク トラフィックが内部ネットワークやホストにアクセスするのをブロックし、発信トラフィックが望ましくない外部ネットワークやホストにアクセスするのを防ぎます。たとえば、組織は Facebook やその他のソーシャル メディア サイトへのアクセスをブロックする場合があります。そのため、境界ファイアウォールは、内部および外部インターフェースを持つものと考えることができます。

静的パケット フィルタ

境界ファイアウォールの基本的なタイプは、静的パケット フィルター ファイアウォールとして知られています。静的パケット フィルタ ファイアウォールは、パケット ヘッダーと呼ばれるアドレス指定情報を含むネットワーク パケットの部分の情報に基づいて、ネットワーク トラフィックをブロックすることによって機能します。静的パケット フィルター ファイアウォールは、スタンドアロン デバイスであるか、ルーターの一部として組み込まれています。

ステートフル インスペクション ファイアウォール

境界ファイアウォールの最も一般的なタイプは、ステートフル インスペクション ファイアウォールです。ステートフル インスペクション ファイアウォールは、すべての送信ネットワーク トラフィックの記録を保持し、対応する送信要求を持つ受信トラフィックのみを許可します。ステートフル インスペクション ファイアウォールは、インターネットからのスキャンをブロックし、IP スプーフィング (攻撃者がインターネット プロトコル (IP) アドレスを偽装または「スプーフィング」することによって、ネットワークまたはコンピューターへの不正アクセスを取得する) を防止できます。ステートフル インスペクション ファイアウォールは、静的パケット フィルター ファイアウォールよりも多くのデータを検査するため、それに応じて遅くなります。

サービス拒否

通常、境界ファイアウォールは、単一のホストではなく、ネットワーク上のすべてのコンピューターに情報を配信しようとするブロードキャスト アドレスを含む着信ネットワーク トラフィックをブロックします。ブロードキャストに応答するコンピュータは、ネットワーク上の他のすべてのコンピュータに同様に情報を送信し、いわゆるサービス拒否攻撃に使用できるトラフィックでネットワークをフラッディングします。