プロキシファイアウォールとは

プロキシファイアウォールとプロキシサーバー

すべてのプロキシ ファイアウォールはプロキシ サーバーですが、すべてのプロキシ サーバーがプロキシ ファイアウォールであるとは限りません。 どちらも、サーバーとクライアントの間の仲介役として機能します。 それぞれがWebページをキャッシュしてネットワークの輻輳を軽減し、ユーザーに関する情報をサーバーから隠すことができます。 プロキシファイアウォールは、ネットワークトラフィックをより深く検査して、潜在的に悪意のあるトラフィックを特定して保護します。

プロキシファイアウォールのしくみ

大規模な組織で働いたことがある場合は、プロキシPAC(プロキシ自動構成)ファイルを使用するようにラップトップを設定したり、会社のプロキシサーバーのIPアドレスを指定したりすることに慣れているかもしれません。 ブラウザーやその他のアプリケーションは、これらのオペレーティング システム設定を使用して、トラフィックをプロキシ サーバーに転送します。

Web ブラウザーはプロキシー・サーバーに接続し、プロキシー・サーバーは接続をインターセプトし、接続がポリシーで許可されている場合は、クライアントに代わって宛先 Web サイトへの別の接続を行います。 これにより、プロキシ ファイアウォールは接続内のパケットを検査できます。 サポートされている主なプロトコルはHTTP(S)Webトラフィックですが、プロキシファイアウォールの機能によっては、FTPなどの他のプロトコルもサポートできます。

プロキシファイアウォールの主な機能

プロキシファイアウォールの主な機能は次のとおりです。

• Webサイトのトラフィックをキャッシュしてパフォーマンスを向上させます。
• セキュリティポリシーに基づいてサイトへのWebアクセスを制限します。
• アプリケーション層のトラフィックに悪意がないかどうかを検査する。

プロキシファイアウォールと他のファイアウォールの違い

プロキシ ファイアウォールは、次のようないくつかの点で他の種類のファイアウォールとは異なります。

検査および保護機能

プロキシ ファイアウォールは、アプリケーション固有のトラフィックの小さなセットを検査するように設計されています。 他のファイアウォールもディープパケットインスペクションを行いますが、歴史的には、IPアドレスとポートまたはサービスアドレスに基づいてポリシーを適用してきました。 Web 用の TCP ポート 80 (HTTP) および 443 (HTTPS)。

単純なIPおよびポートレベルのフィルタリングは、単純なアクセス制御リスト(ACL)を適用する初期のパケットフィルタまたはファイアウォールのドメインです。 ただし、ACLは非常に長くなり、人間が理解するのが難しくなる可能性があります。

ステートフルファイアウォールはさらに一歩進んで、トラフィック制御にプロトコル認識をもたらしました。 たとえば、FTP(ファイル転送プロトコル)には、個別の制御接続(TCPポート20)とデータ接続(TCPポート21)があります。 データ転送の場合、ポートは使用可能なポートのセットから任意のポートにすることもできますが、合計で 60,000 弱です。 クライアントとサーバーの間で選択されたポートは、FTP制御接続を介して通信されます。

FTP 制御接続を監視するステートフル ファイアウォールは、データ転送を動的に許可できます。 ポリシーでは、セキュリティ管理者はホスト間でFTPを許可するように指定するだけで済みます。 ACL リストでより広いポート範囲を開く必要はありません。

URLフィルタリング、アプリケーション制御、 侵入検知と防止 (IDS/IPS)、サンドボックス化など、他のテクノロジーが進歩するにつれて、これらはファイアウォールに統合され、多目的のネットワークセキュリティデバイスになりました。

デプロイメント Location

ファイアウォールが Secure Web Gartner Magic Quadrant (SWG)、UTM(Unified Threat Management)、Next-Generation Firewall(NGFW)に進化するにつれて、その名前は変わったかもしれませんが、ネットワーク内の位置はおそらく変わっていません。 プロキシ サーバーとプロキシ ファイアウォールは、通常、トラフィックが転送される透過的なネットワーク デバイスとして展開されます。

一方、ファイアウォールは、通常、ネットワーク境界で透過的な境界デバイスとしてインラインで展開されます。 また、これらのファイアウォールは、ネットワーク間の低レベルのネットワーク アドレス変換 (NAT) を実行し、静的または動的ルーティング プロトコルを使用したルーティングに参加し、クライアントからサイト間および サイト間の仮想プライベート ネットワーク (VPN) 接続を終端します。 通常、これはエンドユーザーに対して完全に透過的ですが、メッセージ転送エージェント(MTA)として機能することで、SSL/TLSで暗号化されたWeb接続やSMTPなどの電子メールなどの接続を傍受することもできます。

プロキシファイアウォールの制限事項

プロキシファイアウォールが行い、NGFWが行わないことの1つは、Webトラフィックをキャッシュしてパフォーマンスを向上させることです。 パフォーマンスの低下は、NGFWと比較した場合のプロキシファイアウォールの欠点の1つである可能性があります。 もう1つは、アプリケーションの変更に応じて最新の状態に保つことが難しいため、アプリケーションのフィルタリングが機能しなくなり、ユーザーエクスペリエンスが低下する可能性があることです。 同様に、単一障害点になり、ネットワークの中断を引き起こす可能性があります。

プロキシファイアウォールのような帯域外ネットワークデバイスのもう一つの問題は、クライアントでのプロキシまたはPACファイル構成の設定に依存していることです。 多くの場合、ユーザーはこれを手動で実行できるため、プロキシサーバーをバイパスするのは比較的簡単です。 同様に、野心的なユーザーは、プロキシファイアウォールでサポートされていないアプリを使用して、この方法で会社のセキュリティポリシーをバイパスすることもできます。

Proxy Firewall with チェック・ポイント

チェック・ポイントのファイアウォールは、最初のステートフル ファイアウォールの 1 つであり、新しい脅威の発生に合わせて進化してきました。 今日のチェック・ポイントのファイアウォールは、プロキシ・ファイアウォールやプロキシ・サーバに代わる貴重な製品であり、企業はネットワーク・セキュリティ・テクノロジーを拡張性と信頼性に優れた1つの多機能ネットワーク・デバイスに統合することができます。

Check Point NGFWは、選択したデプロイメントでも利用できます。インライン ルーテッドまたはブリッジ デプロイメントの場合、物理デバイスとしてのオンプレミス、仮想デバイスとしてのプライベートおよびパブリック クラウド、 SASE (セキュア アクセス サービス エッジ) モデルのセキュリティ コンポーネントとして展開される Firewall-as-a-Service(FWaaS)として。 SASEモデルに含まれるその他のセキュリティサービスには、企業アプリケーションへの安全なアクセスを提供するゼロトラストネットワークアクセス(ZTNA)や、オフィスやメールクラウドアプリケーションの生産性スイートをネイティブに保護するCASB(クラウドアクセスセキュリティブローカー)があります。

NGFWまたはSASEソリューションに求められるものの詳細については、こちら のバイヤーズガイドをご覧ください。 また、 チェック・ポイントのNGFW または SASE製品の デモもぜひご覧ください。