ステートフル ファイアウォールとステートレス ファイアウォール

ファイアウォールの目的は、保護されたネットワークに出入りできるトラフィックの種類を管理することです。 ファイアウォールはネットワーク境界上にあり、その境界を越えようとするすべてのトラフィック (受信と送信の両方) を検査します。 定義されたルールセットに基づいて、ファイアウォールはその境界を越えるトラフィックを許可またはブロックします。

ファイアウォールにはさまざまな形式があり、いくつかの異なる方法で分類できます。 中小企業のファイアウォールと 企業のファイアウォール の違いを知ることは重要ですが、 ファイアウォール がステートフルかステートレスかなど、さらに根本的な違いがあります。

デモをリクエストする ガイドを入手(英語)

ステートフルファイアウォールとは

ステートフル ファイアウォールは、「状態」を維持したり、アクティブなネットワーク接続に関する情報を保存したりするファイアウォールです。接続が開かれると、ファイアウォールは接続の追跡を開始し、新しいパケットがファイアウォールによって検査および処理されると、その内部状態を更新します。

状態を維持する機能により、ファイアウォールは、順序が間違っていて無効な、一見正当なパケットを識別できます。 たとえば、組織内のコンピューターは DNS 要求を実行してさまざまな Web サイトに関連付けられている IP アドレスを決定する必要があるため、ほとんどの組織では受信 DNS トラフィックが許可されています。 受信 DNS 応答 パケットのヘッダーを検査するステートフル ファイアウォールは、定義されたルールの下で受信トラフィックに許可されるポート番号である 53 のポート番号を持っていることを確認します。

ただし、DNS 応答パケットは、対応するクエリに応答する場合にのみ有効です。 ステートフルファイアウォールには、ターゲットシステムによって行われたDNSクエリのうち、回答がないものの記録があります。 ステートフル ファイアウォールは、対応する要求のない DNS 応答を検出した場合、その悪意のある応答をブロックすることを認識します。

What is a Stateless Firewall?

ステート レス ファイアウォール は、あるパケットから別のパケットへの内部状態を維持しないという点で、ステートフル ファイアウォールとは異なります。 代わりに、各パケットは、ヘッダーに含まれるデータに基づいて評価されます。

これにより、ファイアウォールは受信接続と送信接続の基本的なフィルタリングを実行できます。 パケットの IP アドレスを検査すると、ポリシーで許可されているかどうかを判断できます。 同様に、ステートレスファイアウォールは、保護されたネットワークへの出入りが許可されていないネットワークプロトコルを使用するパケットをブロックします。

ステートフルファイアウォールとステートレスファイアウォールの違い

ステートフル ファイアウォールとステートレス ファイアウォールは、一方のタイプがパケット間の状態を追跡し、もう一方のタイプが追跡しないという点で大きく異なります。 それ以外の場合、 どちらのタイプのファイアウォールも 同じように動作し、パケットヘッダーを検査し、パケットヘッダーに含まれる情報を使用して、事前定義されたルールに基づいてトラフィックが有効かどうかを判断します。 ステートフル ファイアウォールによって維持される状態により、ステートレス ファイアウォールでは識別できないさまざまな脅威を特定できます。

攻撃の種類によっては、正当なパケットを使用して悪用し、目的を達成します。

  • TCPスキャン: 一部のスキャンでは、TCPパケットが順不同で送信され、応答が観察されます。 例としては、ACK スキャンや FIN スキャンなどがあります。
  • 分散型サービス妨害攻撃(DDoS)攻撃: DDoS 攻撃では 、通常、正当なパケットが使用されます。 この攻撃は、これらが大量に送信され、標的のアプリケーションまたはシステムを圧倒するという事実から発生します。

どちらの場合も、個々のパケットは正当であり、ステートレス ファイアウォールが通過を許可します。 攻撃を特定するにはコンテキストが必要ですが、これはステートフルなファイアウォールだけが持つものです。

ファイアウォールの選び方

ステートフルなファイアウォールは、ステートレスなファイアウォールができることをすべて行うことができますが、その逆は当てはまりません。 特定の攻撃は、状態追跡が提供するコンテキストでのみ検出できるため、企業は常にステートレスなファイアウォールよりもステートフルなファイアウォールを選択する必要があります。

ただし、ファイアウォールを選択するときは、他の要因も考慮することも重要です。 たとえば、ステートフル ファイアウォールとステートレス ファイアウォールはどちらも、通常、決定を下すときにパケットのヘッダーのみを検査します。 その結果、悪意のあるコンテンツがパケットペイロードで運ばれる攻撃に気づかなくなる可能性があります。 現代のサイバー脅威の状況では、ほとんどのサイバー攻撃がこのカテゴリに分類されます。

その結果、パケットの内容を検査し、 侵入防止システム (IPS)などの他のセキュリティ機能を統合する次世代ファイアウォール(NGFW)は、最新のサイバー脅威から身を守ろうとする組織にとって正しい選択です。

NGFWとQuantumの組み合わせ

ファイアウォールにはいくつかの種類があり、組織に適したファイアウォールを選択することは、効果的なサイバーセキュリティに不可欠です。 NGFWは現代の脅威から身を守るために不可欠ですが、何を探すべきか、どのように選択肢を評価するべきかを知ることが重要です。 詳しくは、 NGFWのバイヤーズガイドをご覧ください。

チェック・ポイントのNGFWには 、あらゆる組織向けのソリューションが含まれています。 チェック・ポイントのNGFWが組織のサイバーセキュリティをどのように強化できるかについての詳細や、ユースケースに適したNGFWを選択するためのサポートを受けるには、 今すぐ無料デモにサインアップしてください。

スタート

チェック・ポイントの次世代ファイアウォール

超高速ファイアウォールの比較

スケーラブルで回復力のあるファイアウォール

関連トピック

NGFW

ステートレス ファイアウォール

FWaaS(Firewall as a Service)とは

ファイアウォール

ステートフルファイアウォールとは

×
  Feedback
このWebサイトでは、機能、分析、およびマーケティング上の目的でCookieを使用しています。本Webサイトの使用を継続した場合、Cookieの使用に同意したことになります。詳細については、Cookieについてのお知らせをご覧ください。
OK