Firewall Protection: How Does a Firewall Protect the Network?

ファイアウォール保護により、組織は内部ネットワークと信頼できない外部ソースの間に安全な障壁を確立できます。この境界を越えるデータ パケットはすべて精査され、内部ネットワークに及ぼす可能性のある危険性が評価されます。ファイアウォールの組み込みルールに違反するものはすべて安全でないとマークされ、その接続は切断されます。安全な接続のみが許可されます。

2025 Gartner MQ for hybrid mesh firewall ファイアウォールのデモを入手する

ファイアウォール保護はどのように機能しますか?

ファイアウォールの主要なメカニズムはファイアウォール ルールの確立と実行にあるため、ツールをコア コンポーネントに分解する価値があります。

プロキシ サービス

安全であると検証されたデバイスとオープンインターネット間の直接接続を防止することが、安全なネットワークを確立するための鍵となります。これを実現するために、今日多くの企業はプロキシ サービスとしてファイアウォールをインストールしています。

これにより、すべてのリクエストがファイアウォール経由でルーティングされます。 

仲介役として機能するため、その保護範囲はすべての内部デバイスに普遍的に適用できます。

パケットフィルタリング

ネットワーク内では、データはパケットに編成されます。

前述のプロキシ設定のおかげで、これらのデータ パケットはまずファイアウォールに送信され、そこでファイアウォールの「許可」リストと照合されます。悪意のあるデータを識別できる情報で構成されます。データ パケットが定義された脅威のパラメータと一致する場合、パケットはドロップされます。

ルールの検討

データ パケットがファイアウォールに到達すると、設定されたルールに照らして評価されます。各ルールは許可されるデータの特定の基準を概説しており、パケットが準拠していない場合は破棄されます。これらのルールにより、さまざまなネットワークや組織にわたる詳細なカスタマイズが可能になります。

最も一般的なルール タイプの 1 つはアクセス制御ルールです。これは、通過を許可するトラフィックを定義します。アクセス制御ルールは、データ パケット内に含まれるデータ部分に基づいています。

(これらはすべて、疑わしいアクティビティを正確に特定して防止できる、簡単にアクセスできるデータ ポイントであるため)。

意思決定の実行

これは、ファイアウォールがルールに基づいて動作するメカニズムです。ルールに従って、パケットは要求されたサーバーに渡されるか、失敗した場合は破棄されます。

Logging

ファイアウォールは関連するルールセットとパケットを継続的に比較するため、許可または拒否の決定はすべて独自のログ ファイルに記録されます。これらはセキュリティ データのまさに金鉱であり、理想的には企業のより広範なセキュリティ エコシステム内で使用されることになります。

結局のところ、単一のセキュリティ ツールが万能薬となることはなく、セキュリティ情報イベント管理 (SIEM) ソフトウェアなどの他のツールは、ファイアウォール ログを他のセキュリティ データと組み合わせて、その健全性を評価できます。

4つのファイアウォール保護のベストプラクティス

ファイアウォールは強力なセキュリティ ツールですが、そのルールセットを適用および維持する方法を知ることが、その可能性を最大限に引き出す鍵となります。

1: ファイアウォールの強化と構成

ファイアウォールを強化して保護するプロセスは、ネットワークにデプロイメントされるずっと前から始まります。 どのデバイスが検証可能的に安全で、必須であるかを正確に理解する必要があります。

インフラストラクチャのネットワーク図は、さまざまなコンポーネント間の接続を視覚的に表現するため、ネットワークの構造を理解するために不可欠です。

これを活用すると、強化されたファイアウォールを設計することが可能になります。

まず、許可された管理者だけがアクセスできるようにすることが重要です。まず、既知の脆弱性から保護するために、ファイアウォールを最新のファームウェアに更新しておく必要があります。ファイアウォールを本番環境に導入する前に、セキュリティのベスト プラクティスに合わせて適切に構成する必要があります。

従来のセキュリティ管理と重複する部分が多くあります。

  • 不正アクセスを防ぐために、デフォルトのアカウントとパスワードを無効にするか変更する必要があります。
  • セキュリティをさらに強化するために、管理者アカウントは強力で固有のパスワードで保護する必要があります。
  • 共有ユーザー アカウントは避ける必要があります。

複数の管理者がアクセスする必要がある場合は、各管理者の特定の責任に合わせて制限された権限を持つ個別のアカウントを作成することをお勧めします。

このアプローチにより、リスクが最小限に抑えられ、説明責任が確保されます。

#2:ファイアウォールルールを定期的に更新する

適切なルールの基礎は、あらゆるファイアウォールにとって不可欠です。そのため、ほとんどのファイアウォール プロバイダーは、実装時に、普遍的に適用可能な組み込みのルール セットを組み込んでいます。

ただし、独自のアプリケーションやアーキテクチャに合わせてこれらのルールを微調整することの影響を過小評価しないでください。

これは、ネットワーク ダイアグラムの範囲内で実行する必要があります。つまり、最もリスクの高いアプリケーションとユーザーを優先し、そこからファイアウォール ルールセットの構築を開始します。ほとんどのファイアウォールは、最初にカスタム ルールを循環し、その後にプリセット ルールに進むことに注意してください。

ルールを設定したら、その有効性を監視し、ルールがどの程度厳格であるかを注意深く監視します。アクセス制御リストの制限が厳しすぎると非常に危険であり、制限が厳しすぎるとユーザーが必要なリソースにアクセスできなくなる可能性があります。

3: ステートフルインスペクションを利用する

チェック・ポイントは、90 年代後半に初めてステートフル インスペクションを開発しました。これは、個々のパケットからズームアウトしてより広いコンテキストを評価できるファイア ウォールを指します。

 

ステートフル インスペクションは、通信パケットを長期にわたって監視し、受信トラフィックと送信トラフィックの両方を分析します。特定の種類の応答を要求する送信パケットを追跡し、期待される応答と一致する場合は受信パケットの通過を許可します。

このタイプのファイアウォールは、すべてのアクティブなセッションを監視し、すべてのパケットを検証しますが、具体的な方法は、ファイアウォールのテクノロジと使用されている通信プロトコルによって異なります。

#4: アラートメカニズムにログを使用する

ログは、すべての送信トラフィックと受信トラフィックのパスを作成する重要なデータです。これにより、次の点について貴重な洞察が得られます。

  • 交通のパターン
  • 送信元および宛先IPアドレスの異常
  • 潜在的な脆弱性。

このデータは、将来のルールセットの適応に活用できます。ログは、実用的な場合にのみ意味を持ちます。ファイアウォール ログを分析エンジンに接続すると、異常な動作パターンを発見できるようになり、リアルタイムのアラートにより迅速な対応が可能になります。

チェック・ポイントの次世代ファイアウォールで一歩先へ

従来のファイア ウォールは基本的なトラフィック フィルタリングのみに重点を置いていますが、 NGFWは標準のファイア ウォール機能と次のような機能を組み合わせています。

  • Application Control
  • 侵入防止システム(IPS)
  • 高度な脅威保護

チェック・ポイントの NGFW は、チェック・ポイントThreatCloudを活用したリアルタイムの仮想インテリジェンスを利用し、新たなサイバー脅威の特定と軽減を可能にします。 さらに、ヘッダー レベルを超えてデータを調べて隠れたマルウェアや不正なアクティビティを検出するディープ パケット インスペクションもサポートしています。

これらはすべて NGFW の主要コンポーネントです。このトピックの詳細については、 NGFW 購入者ガイドをご覧ください。チェック・ポイントの NGFW の際立った機能の 1 つは、ユーザー ID とグループの役割に基づいてアプリケーションを制御できることです。

Explore this deep access management with a demo to see how Check Point can keep your environment safe.

スタート

Check Point 次世代ファイアウォール

Check Point Force

Miercom 2025 セキュリティベンチマーク

ネットワーク セキュリティ ソリューション

関連トピック

次世代ファイアウォール(NGFW)

ハードウェアファイアウォール

強力なファイアウォールの主な要素

ファイアウォールが最初の防御線となる理由

What is Network Security?