この記事には 複?の問題があります 。 改善 や ノ?トペ?ジ での議論にご協力ください。 出典 がまったく示されていないか不十分です。?容に?する 文?や情報源 が必要です。 （ 2019年10月 ） 古い情報を 更新 する必要があります。 （ 2021年4月 ） 出典?索 ? :  "ファイアウォ?ル"  ?  ニュ?ス   · 書籍   · スカラ?   · CiNii   · J-STAGE   · NDL   · dlib.jp   · ジャパンサ?チ   · TWL

情報セキュリティ と サイバ?セキュリティ
?象別カテゴリ
ネットワ?ク?セキュリティ インタ?ネット?セキュリティ ( 英語版 ) コンピュ?タセキュリティ モバイル?セキュリティ （ 英語版 ） 車載セキュリティ （ 英語版 ）
隣接領域
安全保障
脅威
ウェブシェル （ 英語版 ） エクスプロイト ?限昇格攻? （ 英語版 ） DoS攻? サイバ?犯罪 ? サイバ??? セキュリティホ?ル スクリプトキディ スパム ?? フィッシング スミッシング マルウェア キ?ロガ? コンピュ?タウイルス スパイウェア トロイの木馬 バックドア ボット ランサムウェア ロジックボム ワ?ム ワイパ? ル?トキット
防御
アクセス制御 アプリケ?ション?セキュリティ （ 英語版 ） アンチウイルスソフトウェア セキュアOS セキュア?コ?ディング （ 英語版 ） セキュリティ?バイ?デザイン （ 英語版 ） セキュリティ?バイ?デフォルト （ 英語版 ） 暗? 侵入?知?防止システム デ?タ中心型セキュリティ （ 英語版 ） 認可 認? 多要素認? ファイアウォ?ル ウェブアプリケ?ションファイアウォ?ル モバイルセキュアゲ?トウェイ （ 英語版 ） ランタイムアプリケ?ション自己保護 （ 英語版 ）
表 話 編 ?

ファイアウォ?ル （ 英 : Firewall ）は、 コンピュ?タネットワ?ク において、ネットワ?クの結節、 コンピュ?タセキュリティ の保護、その他の目的 ^{[注? 1]} のため、通過させてはいけない通信を阻止する システム を指す。

?要 [ 編集 ]

ファイアウォ?ルは、外部からの攻?に?する防御だけではなく、?側から外部への望まない通信を制御することも出?る。ネットワ?クの利便性を損ねる場合もあるが、 標的型攻? などにより、?部に トロイの木馬 が入り?んでしまっている場合などに、その活動を妨げる?果が期待できる。

ル?タ? を初めとした アプライアンス 商品にファイアウォ?ルの機能を持つものもある。近年ではネットワ?クの終端にあたる個?のコンピュ?タでも自分自身の防御のために、外部と接?するネットワ?ク プロトコルスタック 中に、望まない通信を防ぐ（たとえばTCPの接?要求など）フィルタなどを持っているものも多く、それらを指して言うこともある（たとえば Windows には「 Windows ファイアウォ?ル 」、 macOS には「アプリケ?ションファイアウォ?ル」がある）。

名?の元となった英語の「Firewall」は 防火壁 のことであり、通過させてはいけない通信を火に例えている。ファイアウォ?ルを境界として3種類のゾ?ンを作成する。パケットの通過、拒否を決定するル?ルは、異なるゾ?ンへと向かうパケットを?象として作成することになる。

• ?部（Inside）ゾ?ン：外部から守るべきネットワ?ク。基本的に信?できるものとして扱う。
• 外部（Outside）ゾ?ン：攻?元となる可能性のあるネットワ?ク。基本的に信?出?ないものとして扱う。
• DMZ（DeMilitarized Zone：非武?ゾ?ン）：?部と外部の中間に置かれるゾ?ン。基本的に外部からアクセスできるのはこのゾ?ンのみとなる。

以下では、 OSI?照モデル に?ったレイヤによって分類しつつ?明する。

パケットフィルタ型 [ 編集 ]

OSI?照モデル における ネットワ?ク層 (レイヤ3)や トランスポ?ト層 (レイヤ4)に相?するIPから TCP 、 UDP 層の?件（ ポリシ? ）で、通信の許可/不許可を判?するもの。?義でのファイアウォ?ルとは、このタイプのものを指す。このタイプはさらに、スタティックなものとダイナミックなものとに分類できる。

基本的にはレイヤ3で通信制御を判?するが、フィルタの種類によってはレイヤ4のヘッダも?照する。すなわち、TCP/UDPの セッション ?位で管理する?ではない。ただし、ステ?トフルパケットインスペクション型ではTCP/UDPセッションの一部も記憶して判?動作する。

スタティックなパケットフィルタ

IP 通信において、宛先や送信元の IPアドレス 、 ポ?ト番? などを監視し、あらかじめ設定した?件によって、その通信を受け入れる(ACCEPT)、?棄する(DROP)、拒否する(REJECT)などの動作で通信を制御する。具?的には、外部から?部へ向かう パケット を選別して特定の サ?ビス のみを通す、また?部から外部へ向かうパケットも、 セキュリティホ?ル になりかねないため、代表的なサ?ビス以外は極力遮?する、といった設定が行われることが多い。仕組みが?純なため高速に動作するが、設定に手間がかかる、防ぎきれない攻?があるなどの問題点がある。

ダイナミックなパケットフィルタ

宛先および送信元のIPアドレスやポ?ト番?などの接??遮??件を、IPパケットの?容に?じて動的に?化させて通信制御を行う方式。

スタティックなパケットフィルタで?部と外部で?方向の通信を行う場合は、?部から外部へ向かうパケットと、外部から?部へ向かうパケットの?方を明示的に許可しなければならない。一方、ダイナミックなパケットフィルタでは、?部から外部の通信を許可するだけで、その通信への?答に?してのみ、外部からの通信を受け入れる、といった動作を自動的に行う。

ステ?トフルパケットインスペクション

ステ?トフルインスペクション (Stateful Packet Inspection、SPI)ともよばれる、ダイナミックなパケットフィルタリングの一種。

レイヤ3のIPパケットが、どのレイヤ4（TCP/UDP）セッションに?するものであるか判?して、正?な手順のTCP/UDPセッションによるものとは判?できないような不正なパケットを拒否する。そのため、TCP/UDPセッションの一部情報を記憶して判?動作する。具?例として、ヘッダのSYNやACKフラグの ハンドシェイク の?態などを記憶し、不正に送られてきたSYN/ACKパケットを?棄する。

サ?キットレベルゲ?トウェイ型 [ 編集 ]

レイヤ3?IPパケットではなく、TCP/IPなどのレイヤ4? トランスポ?ト層 のレベルで通信を代替し、制御する。?部のネットワ?クから外部のネットワ?クへ接?する場合は、サ?キットレベルゲ?トウェイに?してTCPのコネクションを張ったり、UDPのデ?タグラムを投げることになる。サ?キットレベルゲ?トウェイは、自らに向けられていたIPアドレスとポ?ト番?を本?のものへと振り替え、自らが外部と通信した結果を返すという動作をする。代表的なソフトウェア??としては SOCKS がある。また、ハ?ドウェア??として レイヤ4スイッチ にもこの機能を持たせる事ができる。

サ?キットレベルゲ?トウェイは、あらかじめ多?のポ?トを開けたり NAT を用意しなくても、 プライベ?トIPアドレス しか持たない?部のネットワ?クからでも、外部のネットワ?クへ接?できるという点がメリットである。

アプリケ?ションゲ?トウェイ型 [ 編集 ]

パケットではなく、レイヤ7の HTTP や FTP といった、アプリケ?ションプロトコルのレベルで外部との通信を代替し、制御するもの。一般的には プロキシサ?バ と呼ばれている。アプリケ?ションゲ?トウェイ型ファイアウォ?ルの?部のネットワ?クでは、アプリケ?ションはアプリケ?ションゲ?トウェイ（プロキシサ?バ）と通信を行うだけであり、外部との通信はすべてプロキシサ?バが仲介する。アプリケ?ションプロキシが用意されていないサ?ビスについては、サ?キットプロキシで??する事が可能である。

このため、アプリケ?ションゲ?トウェイで許されている プロトコル で トンネリング を行うソフトウェア、例えば SoftEther や httptunnel といった、運用方法によっては セキュリティホ?ル になりうる??の利用を、かえって促進してしまうという事例も近年目立っている。?すぎる セキュリティポリシ? が迂回路を招いてしまっているとも言える。

プロキシは?に中?するだけの物が多いが、レイヤ7ファイアウォ?ルはアプリケ?ションの通信の中身も?査する事ができる（例：アクセスURLチェック、ウイルスチェック、情報漏洩?出）。そのため、?査の仕方によってはレイヤ7ファイアウォ?ルは相?な負荷が掛かり、ファイアウォ?ルの?理上も、通信上もボトルネックとなることもある。また、未成年に好ましくないコンテンツのみを、末端のユ?ザにはプロキシサ?バの存在を意識させない?態で、自動的にフィルタリングしてしまうといった??も可能である。

なお、アプリケ?ションの通信の中身も?査するため、 電?通信事業者 が自らが仲介する通信の?容に立ち入ってはならない（ 通信の秘密 ）と言う原理原則に反する ?? だと批判する向きもある。通信事業に携わる技術者や?者の間ではこういった種類のファイアウォ?ルを設置するという?想を?く批判する向きもある ^{[ 誰? ]} 。

なお?際に、 ISP の ぷらら が ファイル共有ソフトウェア Winny の通信を全て遮?する事を計???表し、それに?して通信の秘密を侵害する可能性があるとして ?務省 から 行政指導 を受け、Winny遮?は同ISPユ?ザの利用者の選?に任せるとした事例もあった。 ^{[ 要出典 ]}

具?的な??例 [ 編集 ]

上述のパケットフィルタリング型や、サ?キットレベルゲ?トウェイ型ではそれぞれ、 レイヤ3スイッチ （ ル?タ? ）や レイヤ4スイッチ 等のハ?ドウェア機器の一部機能として組み?まれている事も多い。この場合、ある程度簡易な?件でしかパケット?査をできないため、簡易ファイアウォ?ル、?義のファイアウォ?ルと呼ぶこともある。レイヤ?7ファイアウォ?ル(L7FW)は通信の?容まで?査するため、L7FWが本?の（?義の）ファイアウォ?ルであるとすることもある。

ソフトウェアによる??としては、 UNIX では?統的に ipfw が使われてきた。 カ?ネル レベルで動作するため、オ?バ?ヘッドが小さく高速に動作する。 macOS でも ipfw が??されている。 Linuxカ?ネル には iptables 、 ipchains 、 nftables 等が??されている。

Windows では ZoneAlarm 、 ノ?トン インタ?ネットセキュリティ 、 ウイルスバスタ? 、 NetOp Desktop Firewall 等の フリ?ウェア ないし商用 アプリケ?ション が普及しているが、これらはファイアウォ?ルというよりは、 IDS に近い動作をしている。しかし、一般的にファイアウォ?ルという語が防護のイメ?ジを喚起しやすいためか、用語は混?して使われている。一般的には、 パ?ソナルファイアウォ?ル と呼ばれる。

また、 Windows XP では、OSの機能として簡易的なファイアウォ?ルが標準で搭載されている（Windows XP SP2ではユ?ザ?が初期設定を行わずに利用できるように改良された）。純?にスタティックなパケットフィルタ型ファイアウォ?ルの??としては、 NEGiES などがある。

主なファイアウォ?ル製品 [ 編集 ]

ソフトウェア型 [ 編集 ]

• Check Point VPN-1、 FireWall-1
• Clavister
• Firestarter
• ipfw
• iptables
• Microsoft Internet Security and Acceleration Server
• nftables
• NPF
• PF
• Symantec Client Security

ハ?ドウェア型 [ 編集 ]

• Cisco PIX and Cisco ASA
• Clavister
• D-Link
• FortiGate by Fortinet
• IPCOM EX Series by Fujitsu
• Juniper NetScreen
• Nortel Stand-alone and Switched Firewall
• SonicWALL
• Symantec Gateway Security
• VSR - バリオセキュア
• WatchGuard Firebox
• ステルスワン Fシリ?ズ

その他フリ?ウェアなど [ 編集 ]

• Devil-Linux (GPL)
• pfSense (BSD-style license) (m0n0wall fork)

脚注 [ 編集 ]

注? [ 編集 ]

出典 [ 編集 ]

?連項目 [ 編集 ]

• DMZ
• 統合脅威管理 （UTM: Unified threat management）
• グレ?ト?ファイアウォ?ル