ファイアウォール

ファイアウォールの歴史

デジタル・イクイップメント・コーポレーションは、1988年に最初のファイアウォールを開発しました。これは単純なパケットフィルタファイアウォールでした。パケット フィルター ファイアウォールは、送信元と送信先の間を通過するデータ パケットを検査します。パケットがセキュリティルールに一致する場合、ファイアウォールはパケットをドロップし、送信元にエラー応答を送信します。

90年代初頭、ベル研究所は第2世代のファイアウォールを発明しました。これらのファイアウォールはステートフル フィルターを使用し、回線レベルのゲートウェイとも呼ばれていました。これらは第 1 世代のファイアウォールと同様に機能しましたが、アップグレードされたバージョンでした。ステートフル フィルタリングを備えたファイアウォールは、以前のパケットに関する情報を記憶し、コンテキストを使用してセキュリティを強化します。

第3世代のファイアウォールフィルタリングされたインターネットトラフィックは、アプリケーション層で使用されました。最初のバージョンは 1993 年にリリースされ、Firewall Toolkit (FWTK) と呼ばれました。これらのファイアウォールは初めてユーザーフレンドリーで、技術者以外の人でもファイアウォールルールを設定できるようになりました。また、アプリケーションとプロトコルを理解し、信頼できるソースからのアプリケーションを標的とした悪意のあるデータなど、パケットフィルタリングによって通過する脅威を防ぐことができました。

それ以来、ファイアウォール技術は多くの進歩を遂げてきました。ほとんどのファイアウォールは依然としてアプリケーション層分析を使用していますが、分析に使用される手法は改善されています。次に、最新のファイアウォールの一般的なタイプを見てみましょう。

ファイアウォールの種類

すべてのファイアウォールの目的は、悪意のあるトラフィックからネットワークを保護することですが、ファイアウォールはさまざまな方法でこれを実現でき、有効性のレベルも異なります。ネットワークがさらされる脅威の種類は、長年にわたって進化し、増殖しており、ファイアウォール技術はそれに対応するために変化してきました。

パケットフィルタリング

最初のファイアウォールはパケットフィルタリングを使用していました。パケット フィルター ファイアウォールは、アクセス制御リストを使用してデータ パケットを検査し、検査するパケットと、パケットがルールに一致した場合にどのようなアクションが発生するかを決定します。ファイアウォールは、送信元と宛先の IP アドレス、プロトコル、送信元と宛先のポートでパケットをフィルタリングできます。これらは、ステートレスとステートフルの 2 つのカテゴリに分類されます。ステートレス パケット フィルターは、履歴やコンテキストを使用してパケットが悪意のあるものであるかどうかを判断しませんが、ステートフル フィルターは悪意のあるパケットであるかどうかを判断します。

プロキシファイアウォール

プロキシ ファイアウォールは、アプリケーション レベルのファイアウォールです。これらは、送信システムと受信システムの間の仲介者として機能します。リクエストはファイアウォールに送信され、トラフィックの通過を許可するかどうかが決定されます。プロキシファイアウォールは、HTTPおよびFTPトラフィックによく使用され、悪意のあるトラフィックを検出するためにディープでステートフルなパケットインスペクションを使用します。

ネットワーク アドレス変換(NAT)ファイアウォール

NAT ファイアウォールは、ネットワーク上のすべてのデバイスが 1 つの IP アドレスを使用してインターネットに接続できるようにすることで、内部ネットワーク上のデバイスの IP アドレスをプライベートに保ちます。これにより、攻撃者がネットワークをスキャンして、より標的を絞った攻撃に使用できる特定のデバイスの詳細を取得するのを防ぐことができます。NAT ファイアウォールは、プロキシ ファイアウォールと同様に、2 つのエンド システム間の仲介者としても機能します。

ステートフル マルチレイヤ インスペクション(SMLI)ファイアウォール

SMLI ファイアウォールは、ネットワーク層、トランスポート層、およびアプリケーション層でパケットをフィルタリングし、受信パケットを既知の信頼できるパケットと比較します。SMLI ファイアウォールは、各レイヤーでパケット全体をフィルタリングし、各フィルターを通過するパケットのみを許可します。ステートフルであるため、コンテキストに基づいてパケットをフィルタリングし、送信元と宛先が信頼されていることを確認します。

次世代ファイアウォール(NGFW)

次世代ファイアウォールは、従来のファイアウォール機能にセキュリティ技術を追加することで、ファイアウォール技術を改善しました。これらのファイアウォールには、ウイルス対策スキャン、暗号化されたデータ検査、アプリケーション認識、クラウド配信の脅威インテリジェンス、統合侵入防御などの機能があります。また、ディープパケットインスペクション(DPI)を使用して、従来のファイアウォールのようなヘッダーだけでなく、パケット自体内のデータを調べます。

ファイアウォールだけでは十分ではない

ファイアウォールはビジネスの境界を守り、外部からの攻撃からネットワークを保護しますが、歴史上最大の データ侵害 の多くは、外部からの攻撃の結果として発生したわけではありません。これらの侵害は、フィッシング詐欺などの内部攻撃から発生しました。ファイアウォールは、誰かがメールの添付ファイルをダウンロードするのを防ぐことはできません。

ファイアウォールは内部トラフィックをフィルタリングしません。そのため、攻撃者がネットワーク内に侵入すると、自由に動き回ることができます。ランサムウェア攻撃は、この自由度によって効果的であり、ネットワーク上のすべてのアプリケーションを停止させることはできません。

この問題の解決策は、 マイクロセグメンテーション を含む ゼロトラストセグメンテーション であり、特定のアプリケーションセグメントにセキュリティポリシーを設定することで、ネットワークをワークロードレベルまで保護できます。これは、ネットワーク上の 1 台のマシンにアクセスできる攻撃者が他のリソースにアクセスできないことを意味します。これにより、脅威の横方向の移動を防ぎます。マイクロセグメンテーションは、ファイアウォールの欠点を補うだけでなく、ネットワーク全体に実装すると、ファイアウォールの必要性を完全に排除できます。

Conclusion

ファイアウォールは、送受信トラフィックを監視することで悪意のあるトラフィックからネットワークを保護するために 80 年代後半に発明されました。これらは、ますます巧妙化する攻撃に対応するために長年にわたって進化しており、 ネットワークセキュリティの必要な部分となっています。しかし、現代の攻撃者は境界防御ファイアウォールを回避する方法を見つけ、この境界内で大規模なデータ侵害を達成しました。企業は、仮想マシン、デバイス、リソースレベルでの攻撃を防ぐために、マイクロセグメンテーションなどのより高度なネットワークセキュリティを必要としています。      

詳細情報

• イルミオゼロトラストセグメンテーションがランサムウェアやマルウェアを撃退する際に従来のファイアウォールをどのように上回っているかをご覧ください。
• イルミオゼロトラストセグメンテーションプラットフォームの詳細をご覧ください。