TL
ホーム/ネットワーク/機器/ ファイアウォール

L3〜L7・通信の許可・遮断

ファイアウォール

ルールに従って通信を許可/遮断し、ネットワークの境界を守る装置・機能ステートフル検査が基本で、次世代 FW(NGFW)はアプリ識別や IPS まで担う

TL;DR要点だけ先に
  • 1.ルールで通信を通す/止める境界の守り手。
  • 2.ステートフル検査が基本、NGFW はアプリも識別。
  • 3.内外の境界やセグメント間にまず置く。

Core Facts

基本情報

Introducing

ファイアウォールルールに従って通信を許可/遮断し、ネットワークの境界を守る装置・機能。ステートフル検査が基本で、次世代 FW(NGFW)はアプリ識別や IPS まで担う。
OSI 層
L3〜L7
検査方式
パケット / ステートフル / NGFW
主な機能
ポリシー制御 / NAT / VPN
配置
境界 / 内部セグメント
選ばれる理由
ルールで不要な通信を遮断ステートフルに通信の文脈を追跡
主な利用シーン
社内ネットワークの境界防御セグメント間のアクセス制御 / VPN 終端・リモートアクセス

Decision Guide

選定ポイント

採用する理由と、事前に受け入れるべきトレードオフを分けて確認します。

Why It Fits

選ぶ理由

  1. ルールで不要な通信を遮断
  2. ステートフルに通信の文脈を追跡
  3. NGFW はアプリ識別・IPS・URL フィルタも

Trade-offs

考慮すべき点

  1. 許可した通信内の攻撃は防ぎにくい(→ WAF/IPS)
  2. ルール肥大化で運用が難しくなる
  3. 単一障害点・性能ボトルネックになりうる

Deep Dive

もっと詳しく

どんな機器か

ファイアウォールは、ルールに基づいて通信を許可・遮断し、ネットワークの境界を守る 機器です。社内 LAN とインターネットの境目など、信頼できる側とできない側の間に置かれ、許可されていない通信を入口で止めます。

扱う層は製品により幅があり、IP やポートを見る L3〜L4 から、アプリケーションの中身を見る L7 まで対応します。

どう動くのか

基本となるのは ステートフルインスペクション(状態を持つ検査) です。送信元・宛先の IP やポートだけでなく、通信のセッション状態(接続が確立済みか、その応答か) を覚えておき、正当な往復通信だけを通します。これにより、内部からの通信に対する戻りパケットは許可しつつ、外部からの一方的な接続は遮断できます。

ルールは一般に「上から順に評価し、最初に一致したものを適用」する形で書きます。

# 概念的なルール例(順序が重要)
allow  src=社内LAN  dst=any        port=443   # 社内→Web は許可
deny   src=any      dst=社内サーバ port=any    # 外部→内部は原則遮断

似た機器との違い

  • 次世代 FW(NGFW)との関係:従来型 FW が IP/ポート中心なのに対し、NGFW は アプリケーション識別・IPS・URL フィルタ などを統合し、L7 まで踏み込んで制御する。
  • WAF との違い:FW は 汎用の境界防御。WAF は Web アプリケーションに特化 し、SQL インジェクションや XSS など HTTP リクエストの中身に対する攻撃を防ぐ。守る対象と粒度が異なり、両方を併用することも多い。

設計・運用のポイント

  • ルールの肥大化に注意:追加を重ねると不要・重複ルールが溜まり、穴や運用ミスの温床になる。定期的な棚卸しが必要。
  • 単一障害点になりやすい:境界に 1 台だと故障時に通信全体が止まる。アクティブ/スタンバイなどで 冗長化 する。
  • 「最小許可」の原則:基本は全遮断とし、必要な通信だけを明示的に許可する。

製品を選ぶときの観点

  • 従来型 FW か NGFW か:アプリ識別や IPS・URL フィルタが要るか。
  • スループット:暗号化通信の検査(SSL インスペクション)を有効にしても性能が足りるか。
  • 可用性:冗長構成・設定同期に対応するか。
  • 運用性:ログの可視化やルール管理のしやすさ。

Decision Context

ファイアウォールを実務で読む

TL;DRは入口です。実際に選ぶ・使う段階では、何を解決するか、何と比較するか、導入後にどこで詰まるかまで見る必要があります。

解決すること

社内ネットワークの境界防御

比較で見る軸

OSI 層: L3〜L7 / 検査方式: パケット / ステートフル / NGFW / 主な機能: ポリシー制御 / NAT / VPN

導入後に効く点

ステートフルに通信の文脈を追跡

先に潰すリスク

許可した通信内の攻撃は防ぎにくい(→ WAF/IPS)

数字・仕様の読み方
OSI 層
L3〜L7
検査方式
パケット / ステートフル / NGFW
主な機能
ポリシー制御 / NAT / VPN
配置
境界 / 内部セグメント

判断チェックリスト

  • 自社の用途が「社内ネットワークの境界防御 / セグメント間のアクセス制御」に近いか確認する。
  • 強みである「ルールで不要な通信を遮断」が本当に評価軸になるか確認する。
  • 注意点の「許可した通信内の攻撃は防ぎにくい(→ WAF/IPS)」を運用で吸収できるか確認する。
  • 公開値や仕様値は、対象プラン・対象機種・対象リージョンまで確認する。
  • 既存システム、ID、ネットワーク、監視、バックアップとの接続方法を先に洗い出す。
  • 小さく試してから、本番移行、権限設計、障害時手順、コスト監視を決める。

次に確認する観点

社内ネットワークの境界防御セグメント間のアクセス制御VPN 終端・リモートアクセスPalo Alto NetworksFortinet FortiGateCisco Secure FirewallCheck PointJuniper SRX
参考: 参考リンク

Landscape

代表的な製品・サービス

Palo Alto Networks

NGFW のリーダー

Fortinet FortiGate

コスパの高い UTM/NGFW

Cisco Secure Firewall

ASA / Firepower

Check Point
Juniper SRX
各クラウドの Security Group / Cloud FW

Use Cases

こんな場面で使う

社内ネットワークの境界防御セグメント間のアクセス制御VPN 終端・リモートアクセス
参考リンク