空港の金属探知機のように、ファイアウォールは脆弱な場所を陰湿な脅威から保護するための不可欠なゲートキーパーとして機能します。 デジタルの世界では、その脆弱な場所はプライベートネットワークとシステムですが、陰湿な脅威は破壊的なウイルスから内部ハッカーまで何でもあり どの種類のファイアウォールがどの脅威を防ぐのかを理解することは重要です。
この記事では、ビジネスを保護するためにファイアウォールについて知っておく必要がある基本的なことをカバーしています。 私たちは、ファイアウォールの種類だけでなく、その長所と短所のいくつかについて説明します。
ファイアウォールの種類:ハードウェアファイアウォールとソフトウェアファイアウォール
ハードウェアファイアウォールとその機能
ハードウェアファイアウォールは、プライベートネットワークを着信脅威から保護するための最初の防衛線です。 イントラネットに許可されるデータパケットと、許可されないデータパケットを決定します。 私たちはすぐに発見するように、これを行うには多くの方法があります。
もちろん、悪意のあるパケットはこの最初の物理層の保護を通過する可能性があります。 では、次に何が起こるのでしょうか? これはソフトウェアファイアウォールが演劇に入って来るところである。
ソフトウェアファイアウォールの役割
ソフトウェアファイアウォールはどのデータパケットがイントラネットに入るかを決定しませんが、ネットワー これにより、よりきめの細かい保護が提供されるだけでなく、内部の脅威を捕捉するという二次的な利点があります。
私たちの空港の類推に戻るには:最初の金属探知機がハードウェアファイアウォールである場合、ターミナル全体に掲示された警備員はソフトウェアファイアウォールです。
これら二つのカテゴリの違いを理解したので、さまざまな種類のファイアウォールについて説明しましょう。 昇順の複雑さの順に、それらは次のとおりです:
- パケットフィルタリングファイアウォール
- ステートフルインスペクションファイアウォール
- 回路レベルのゲートウェイ
- アプリケーションレベルのゲートウェイ(プロキシサーバーファイアウォール)
- 次世代ファイアウォール
次のセクションでは、簡単なツアーを取りますこれらのそれぞれの。 それの終わりまでに、あなたは彼らの長所と短所のいくつかに加えて、彼らがどのように動作するかの一般的な理解を持っている必要があります。
ファイアウォールの種類とその機能は何ですか?
あなたが尋ねる人に応じて、ネットワークセキュリティには三つから五つの異なるタイプのファイアウォールがあります。 徹底のために、私たちはすべての五つをカバーしています。
パケットフィルタリングファイアウォール
現代のファイアウォールのゴッドファーザーであるパケットフィルタリングは、今日でも広く使用されています。 より高度なセキュリティ上の脅威には適していませんが、早期発見には依然として重要な要素です。
これらのタイプのファイアウォールは”ステートレス”と呼ばれることがよくあります。 これは、パケットフィルタリング技術は、本質的にパケットのIPアドレスのみに基づいて着信データを渡すか、または防止することを決定するアクセ
サイバーセキュリティでは、アクセス制御リスト(ACL)はまさにあなたが考えているものです。 これは、特定のIPアドレスが信頼できないとしてリストされ、したがって、プライベートネットワークにデータパケットを送信することを防止することによ 逆に、Aclには信頼できるIPアドレスへのアクセスを許可する権限もあります。
基本的に、ACLは着信パケットが転送またはブロックされるルールを設定し、維持します。 このタイプのファイアウォールは、より初歩的な脅威に対して効果的であり、高速で手頃な価格です。
ただし、パケットフィルタリングファイアウォールは、実際にはデータパケットの内容を知らないことに注意してください。 これは、信頼されたIPから送信された悪意のあるパケットが遅延監視員を通過しても問題がないことを意味します。
回線レベルのゲートウェイ
パケットフィルタリングファイアウォールと同様に、回線レベルのゲートウェイは、受信データパケットをフィルタリングするための大まかで高速な方法を提供します。 ただし、パケットフィルタリングとは対照的に、回線レベルのゲートウェイは、着信パケットのIPアドレスには関係しません。
むしろ、彼らの仕事はtransmission protocol handshake(TCP)を検証することです。 もちろん、ハンドシェイクを成功させても、プライベートネットワークに悪意のあるトラフィックが侵入しないことは保証されません。
パケットフィルタリングと回線レベルのゲートウェイの他の類似点は、どちらのタイプのファイアウォールも実際には着信データパケットの内容を これらは他のセキュリティ対策と組み合わせてうまく機能しますが、パケットフィルタリングと回線レベルのゲートウェイだけでは、内部ネットワー
詳細については、準備ができていますか?
- フィッシング偽装から受信トレイを保護する
- 会社のサイバーセキュリティプラクティスで基本に戻る
- エンドポイントの保護–サガ
- クラ
ステートフルインスペクションファイアウォール
ステートレスファイアウォールとは何かを知ったので、ステートフルファイアウォールが提供する利点を理解することができます。
単なるパケットフィルタリングとは対照的に、ステートフルインスペクションはIPアドレスを検証するだけでなく、実際に着信パケットに隠された脅威を検査します。 このタイプのファイアウォールは、以下を含む状態テーブルを生成します:
- 送信元IP
- 宛先IP
- 送信元ポート
- 宛先ポート
- プロトコル(TCP、UDP、ICMPを含む)
- および大いに多く。
このタイプのファイアウォールは、事前に確立された一連のルールに従うのではなく、各着信パケットの状態テーブルをコンパイルすることによ もちろん、ステートフル検査の実行に必要な処理能力の量は、ネットワークトラフィックの速度に悪影響を与える可能性があります。 これにより、ステートフルファイアウォールはDDoS攻撃のための座っているアヒルになります。
アプリケーションレベルのゲートウェイ(またはプロキシサーバーファイアウォール)
従来のファイアウォールの四つのタイプのうち、これは企業に最もネットワークセキュリティを提供するものである。
アプリケーションレベルのゲートウェイ(プロキシサーバーファイアウォールとも呼ばれます)は、OSIモデルではアプリケーション層と呼ばれるクライアントとサーバー間の通信レベルのインターフェイスでメッセージを効果的にフィルタリングします。 アプリケーションレベルのゲートウェイは、高レベルのプロキシファイアウォールに分類されます。
プロキシファイアウォールが非常に安全であると考えられる理由は、メインサーバーではなくプロキシサーバー上に存在するためです。 これにより、サイバー攻撃やマルウェアが内部ネットワークに直接侵入するのを防ぎます。
さらに、プロキシサーバーは独自のIPアドレスを持っているため、メインサーバーのIPを隠します。 これは、パケットフィルタリングとステートフルファイアウォールの両方とは対照的であり、ネットワーク接続を受け入れて確立するのではなく、単にパケ
もちろん、アプリケーションレベルでプライベートネットワークのセキュリティを統合することには一定の欠点があります。 最も一般的には、トラフィックのボトルネックが発生した場合、接続速度とパフォーマンスが低下する可能性があります。
これは主に2つの理由で発生します。
- プロキシファイアウォールは、ネットワークトラフィックを単一のアクセスポイントに制限します。
- すべての着信要求と発信要求に対して一意の接続を確立します。
結論はこれです:Algは他の従来のファイアウォールよりも徹底的なパケット検査を提供します。 追加のセキュリティ戦術により、Algは攻撃検出やエラー検出から、妥当性チェックやディープパケット検査(DPI)まで、非常に汎用性が高くなります。 はい、速度とパフォーマンスの問題が発生する可能性がありますが、これらは他の手段で軽減することができます。