次世代ファイアウォール(NGFW)は、従来のファイアウォールとは異なる追加機能を備えています。NGFWは、最新の脅威を特定する能力に優れていることが多くあります。
この記事を読み終えると、以下のことができるようになります。
関連コンテンツ
是非、Cloudflareが毎月お届けする「theNET」を購読して、インターネットで最も人気のある洞察をまとめた情報を入手してください!
記事のリンクをコピーする
次世代ファイアウォール(NGFW)は、ネットワークトラフィックを処理し、潜在的な脅威のあるトラフィックをブロックするルールを適用するセキュリティアプライアンスです。NGFWは、従来のファイアウォールの機能を進化・拡張させたものです。NGFWは、ファイアウォールの機能をすべて備えていますが、より強力で機能も追加されています。
2つの空港警備会社があるとします。1つ目の確認事項として、乗客が搭乗禁止リストに載っていないか、身分証明書が航空券に記載されているものと一致しているか、空港が実際に提供している目的地に向かっているかを確認します。もう2つ目の確認事項は、搭乗禁止リストなどのチェックに加えて、乗客の手荷物を検査し、危険物や許可されていないものを持っていないかどうかを確認します。1つ目の機関は明らかな脅威から空港の安全を守りますが、2つ目の機関は見えにくい脅威も特定します。
通常のファイアウォールは、1つ目のセキュリティ機関のようなものです。データ(乗客)の行き先、正当なネットワーク接続の一部であるかどうか、そしてどこから来たのかに基づいてデータのブロックや許可を行います。NGFWは、2つ目のセキュリティ機関のようなものです。より深いレベルでデータを検査し、通常のトラフィックに隠れている可能性のある脅威を特定してブロックします。
NGFWは、通常のファイアウォールができることはすべて行うことができます。これには次のものを含みます。
また、NGFWには、従来のファイアウォールにはないいくつかの機能が追加されています。NGFWは、パケットフィルタリングに加えて、ディープパケットインスペクション(DPI)を採用しています。また、世界的な調査・顧問会社であるGartner社によると、NGFWには以下のようなものがあります。
これらの機能の詳細についてはについては後述しています。
これらの機能の多くは、通常のファイアウォールとは異なり、NGFWはOSI参照モデルのレイヤ3(ネットワーク層)とレイヤ4(トランスポート層)だけでなく、複数のレイヤでトラフィックを処理することができるからです。NGFW は、例えば、レイヤ7のHTTPトラフィックを見て、どのアプリケーションが使用されているかを識別することができます。 レイヤ7(アプリケーション層)は、従来のファイアウォールがレイヤ3やレイヤ4で適用していたセキュリティポリシーを回避するための攻撃に使用されることが多くなっているため、これは重要な機能です。
(OSIレイヤーについては、 OSI 参照モデルとは?をご覧ください。)
ネットワークやインターネットを通過するすべてのデータは、パケットと呼ばれる小さな断片に分解されます。ネットワークに入るこれらのパケットにはコンテンツが含まれているため、悪意のあるコンテンツ(例えば、 マルウェア 攻撃)の通過を防止するためにファイアウォールはパケットを検査して、ブロック、または許可します。すべてのファイアウォールは、このパケットフィルタリング機能を備えています。
パケットフィルタリングは、各パケットに関連する送信元および送信先のIP アドレス 、ポート、プロトコルを検査することで機能します。言い換えれば、各パケットがどこから来て、どこへ行き、どのようにして到達するのかを検査します。ファイアウォールは、この評価に基づいてパケットを許可またはブロックし、許可されないパケットをフィルタリングします。
例えば、攻撃者は、リモートデスクトッププロトコル(RDP)に関連する脆弱性を利用しようとして、このプロトコルが使用するポート(3389番ポート)に特別に細工したパケットの送信を試行することがあります。しかし、ファイアウォールは、パケットを検査して、どのポートに送信されているかを確認し、特に許可されたIPアドレスからのものでない限り、そのポートに向けられたすべてのパケットをブロックすることができます。これは、ネットワークトラフィックをレイヤー3(送信元と送信先のIPアドレスを確認)とレイヤー4(ポートを確認)で検査します。
NGFWでは、代わりにディープパケットインスペクション(DPI)を行うことでパケットフィルタリング機能を改良しています。DPIでは、パケットフィルタリングと同様に、個々のパケットを検査して、送信元と送信先のIPアドレス、送信元と送信先のポートなどを確認します。これらの情報はすべて、パケットのレイヤー3およびレイヤー4のヘッダーに含まれています。
また、DPIは、ヘッダーだけでなく、各パケットのボディも検査します。具体的には、DPIはパケットのボディにマルウェアのシグネチャやその他の潜在的な脅威がないかをチェックします。DPIは、各パケットの内容を、既知の悪意のある攻撃の内容と比較します。
NGFWは、どのアプリケーションに向かうかによって、パケットをブロックしたり、許可したりします。NGFWは、アプリケーション層であるレイヤー7のトラフィックを分析することでこれを行います。従来のファイアウォールは、レイヤー3と4のトラフィックを分析するだけなので、このような機能はありません。
アプリケーションを認識することで、管理者は潜在的にリスクのあるアプリケーションをブロックすることができます。アプリケーションのデータがファイアウォールを通過できなければ、そのアプリケーションがネットワークに脅威をもたらすことはありません。
ガートナー社の用語の定義によると、この機能と侵入防止(後述)は共にDPIの要素です。
侵入防止機能は、入力トラフィックを分析し、既知の脅威や潜在的な脅威を識別し、それらの脅威をブロックします。このような機能は、しばしば不正侵入防止システム(IPS)と呼ばれます。NGFWは、DPI機能の一部としてIPSを搭載しています。
IPSは、以下のようないくつかの方法で脅威を検出することができます。
脅威インテリジェンスとは、潜在的な攻撃に関する情報のことです。攻撃手法やマルウェアの種類は常に変化しているため、最新の脅威インテリジェンスは攻撃をブロックするために不可欠です。NGFWは、外部ソースから脅威スレットインテリジェンスのフィードを受信し、それに基づいて行動することができます。
脅威インテリジェンスが最新のマルウェアシグネチャを提供することで、IPSのシグネチャ検出を効果的に維持します。
また、脅威インテリジェンスはIP Reputation情報も提供します。「IP Reputation」は、頻繁に攻撃(特にボット攻撃)の送信元になっているIPアドレスを特定します。IPレピュテーションや脅威インテリジェンスのフィードでは、最新の既知の評判の悪いIPアドレスを提供し、NGFWはこれをブロックすることができます。
NGFWの中には、内部のプライベートネットワークを防御するために設計されたハードウェアアプライアンスもあります。NGFWはソフトウェアとして導入することもできますが、ソフトウェアベースでなくても次世代とみなすことができます。
最後に、NGFWは、クラウドサービスとして展開することができます。これは、クラウドファイアウォールまたはFirewall-as-a-Service(FWaaS) と呼ばれています。FWaaSは、セキュアアクセスサービスエッジ(SASE)ネットワーキングモデルの重要なコンポーネントです。(より詳しいNGFWとFWaaSの比較をご覧ください。)
Cloudflare Magic Firewall は、グローバルなCloudflareネットワークで提供されるネットワークレベルのファイアウォールです。ユーザー、オフィスネットワーク、クラウドインフラストラクチャを保護し、ハードウェアベースのファイアウォールに代わる高度でスケーラブルな保護機能を備えています。
Magic Firewallは、Cloudflare One、ネットワークとセキュリティサービスを組み合わせたSASEプラットフォームと緊密に連携しています。
利用開始
Webアプリケーションセキュリティについて
一般的な脅威
VPNリソース
セキュリティ用語集