ファイアウォール

ファイアウォール（英えい: Firewall）は、コンピュータネットワークにおいて、ネットワークの結節けっせつ、コンピュータセキュリティの保護ほご、その他たの目的もくてき^{[注釈ちゅうしゃく 1]}のため、通過つうかさせてはいけない通信つうしんを阻止そしするシステムを指さす。

概要がいよう[編集へんしゅう]

ファイアウォールは、外部がいぶからの攻撃こうげきに対たいする防御ぼうぎょだけではなく、内側うちがわから外部がいぶへの望のぞまない通信つうしんを制御せいぎょすることも出来できる。ネットワークの利便りべん性せいを損そこねる場合ばあいもあるが、標的ひょうてき型がた攻撃こうげきなどにより、内部ないぶにトロイの木馬もくばが入はいり込こんでしまっている場合ばあいなどに、その活動かつどうを妨さまたげる効果こうかが期待きたいできる。

ルーターを初はじめとしたアプライアンス商品しょうひんにファイアウォールの機能きのうを持もつものもある。近年きんねんではネットワークの終端しゅうたんにあたる個々ここのコンピュータでも自分じぶん自身じしんの防御ぼうぎょのために、外部がいぶと接続せつぞくするネットワークプロトコルスタック中なかに、望のぞまない通信つうしんを防ふせぐ（たとえばTCPの接続せつぞく要求ようきゅうなど）フィルタなどを持もっているものも多おおく、それらを指さして言いうこともある（たとえばWindowsには「Windows ファイアウォール」、macOSには「アプリケーションファイアウォール」がある）。

名称めいしょうの元もととなった英語えいごの「Firewall」は防火ぼうか壁かべのことであり、通過つうかさせてはいけない通信つうしんを火ひに例たとえている。ファイアウォールを境界きょうかいとして3種類しゅるいのゾーンを作成さくせいする。パケットの通過つうか、拒否きょひを決定けっていするルールは、異ことなるゾーンへと向むかうパケットを対象たいしょうとして作成さくせいすることになる。

内部ないぶ（Inside）ゾーン：外部がいぶから守まもるべきネットワーク。基本きほん的てきに信頼しんらいできるものとして扱あつかう。
外部がいぶ（Outside）ゾーン：攻撃こうげき元もととなる可能かのう性せいのあるネットワーク。基本きほん的てきに信頼しんらい出来できないものとして扱あつかう。
DMZ（DeMilitarized Zone：非ひ武装ぶそうゾーン）：内部ないぶと外部がいぶの中間ちゅうかんに置おかれるゾーン。基本きほん的てきに外部がいぶからアクセスできるのはこのゾーンのみとなる。

以下いかでは、OSI参照さんしょうモデルに従したがったレイヤによって分類ぶんるいしつつ説明せつめいする。

パケットフィルタ型がた[編集へんしゅう]

OSI参照さんしょうモデルにおけるネットワーク層そう(レイヤ3)やトランスポート層そう(レイヤ4)に相当そうとうするIPからTCP、UDP層そうの条件じょうけん（ポリシー）で、通信つうしんの許可きょか/不ふ許可きょかを判断はんだんするもの。狭義きょうぎでのファイアウォールとは、このタイプのものを指さす。このタイプはさらに、スタティックなものとダイナミックなものとに分類ぶんるいできる。

基本きほん的てきにはレイヤ3で通信つうしん制御せいぎょを判断はんだんするが、フィルタの種類しゅるいによってはレイヤ4のヘッダも参照さんしょうする。すなわち、TCP/UDPのセッション単位たんいで管理かんりする訳わけではない。ただし、ステートフルパケットインスペクション型がたではTCP/UDPセッションの一部いちぶも記憶きおくして判断はんだん動作どうさする。

スタティックなパケットフィルタ: IP通信つうしんにおいて、宛先あてさきや送信そうしん元もとのIPアドレス、ポート番号ばんごうなどを監視かんしし、あらかじめ設定せっていした条件じょうけんによって、その通信つうしんを受うけ入いれる(ACCEPT)、廃棄はいきする(DROP)、拒否きょひする(REJECT)などの動作どうさで通信つうしんを制御せいぎょする。具体ぐたい的てきには、外部がいぶから内部ないぶへ向むかうパケットを選別せんべつして特定とくていのサービスのみを通とおす、また内部ないぶから外部がいぶへ向むかうパケットも、セキュリティホールになりかねないため、代表だいひょう的てきなサービス以外いがいは極力きょくりょく遮断しゃだんする、といった設定せっていが行おこなわれることが多おおい。仕組しくみが単純たんじゅんなため高速こうそくに動作どうさするが、設定せっていに手間てまがかかる、防ふせぎきれない攻撃こうげきがあるなどの問題もんだい点てんがある。
ダイナミックなパケットフィルタ: 宛先あてさきおよび送信そうしん元もとのIPアドレスやポート番号ばんごうなどの接続せつぞく・遮断しゃだん条件じょうけんを、IPパケットの内容ないように応おうじて動的どうてきに変化へんかさせて通信つうしん制御せいぎょを行おこなう方式ほうしき。; スタティックなパケットフィルタで内部ないぶと外部がいぶで双方向そうほうこうの通信つうしんを行おこなう場合ばあいは、内部ないぶから外部がいぶへ向むかうパケットと、外部がいぶから内部ないぶへ向むかうパケットの双方そうほうを明示めいじ的てきに許可きょかしなければならない。一方いっぽう、ダイナミックなパケットフィルタでは、内部ないぶから外部がいぶの通信つうしんを許可きょかするだけで、その通信つうしんへの応答おうとうに関かんしてのみ、外部がいぶからの通信つうしんを受うけ入いれる、といった動作どうさを自動的じどうてきに行おこなう。
ステートフルパケットインスペクション: ステートフルインスペクション(Stateful Packet Inspection、SPI)ともよばれる、ダイナミックなパケットフィルタリングの一種いっしゅ。; レイヤ3のIPパケットが、どのレイヤ4（TCP/UDP）セッションに属ぞくするものであるか判断はんだんして、正当せいとうな手順てじゅんのTCP/UDPセッションによるものとは判断はんだんできないような不正ふせいなパケットを拒否きょひする。そのため、TCP/UDPセッションの一部いちぶ情報じょうほうを記憶きおくして判断はんだん動作どうさする。具体ぐたい例れいとして、ヘッダのSYNやACKフラグのハンドシェイクの状態じょうたいなどを記憶きおくし、不正ふせいに送おくられてきたSYN/ACKパケットを廃棄はいきする。

サーキットレベルゲートウェイ型がた[編集へんしゅう]

レイヤ3・IPパケットではなく、TCP/IPなどのレイヤ4・トランスポート層そうのレベルで通信つうしんを代替だいたいし、制御せいぎょする。内部ないぶのネットワークから外部がいぶのネットワークへ接続せつぞくする場合ばあいは、サーキットレベルゲートウェイに対たいしてTCPのコネクションを張はったり、UDPのデータグラムを投なげることになる。サーキットレベルゲートウェイは、自みずからに向むけられていたIPアドレスとポート番号ばんごうを本来ほんらいのものへと振ふり替かえ、自みずからが外部がいぶと通信つうしんした結果けっかを返かえすという動作どうさをする。代表だいひょう的てきなソフトウェア実装じっそうとしてはSOCKSがある。また、ハードウェア実装じっそうとしてレイヤ4スイッチにもこの機能きのうを持もたせる事ことができる。

サーキットレベルゲートウェイは、あらかじめ多数たすうのポートを開あけたりNATを用意よういしなくても、プライベートIPアドレスしか持もたない内部ないぶのネットワークからでも、外部がいぶのネットワークへ接続せつぞくできるという点てんがメリットである。

アプリケーションゲートウェイ型がた[編集へんしゅう]

パケットではなく、レイヤ7のHTTP や FTP といった、アプリケーションプロトコルのレベルで外部がいぶとの通信つうしんを代替だいたいし、制御せいぎょするもの。一般いっぱん的てきにはプロキシサーバと呼よばれている。アプリケーションゲートウェイ型がたファイアウォールの内部ないぶのネットワークでは、アプリケーションはアプリケーションゲートウェイ（プロキシサーバ）と通信つうしんを行おこなうだけであり、外部がいぶとの通信つうしんはすべてプロキシサーバが仲介ちゅうかいする。アプリケーションプロキシが用意よういされていないサービスについては、サーキットプロキシで対応たいおうする事ことが可能かのうである。

このため、アプリケーションゲートウェイで許ゆるされているプロトコルでトンネリングを行おこなうソフトウェア、例たとえばSoftEtherやhttptunnelといった、運用うんよう方法ほうほうによってはセキュリティホールになりうる実装じっそうの利用りようを、かえって促進そくしんしてしまうという事例じれいも近年きんねん目立めだっている。強つよすぎるセキュリティポリシーが迂回うかい路ろを招まねいてしまっているとも言いえる。

プロキシは単たんに中継ちゅうけいするだけの物ものが多おおいが、レイヤ7ファイアウォールはアプリケーションの通信つうしんの中身なかみも検査けんさする事ことができる（例れい：アクセスURLチェック、ウイルスチェック、情報じょうほう漏洩ろうえい検出けんしゅつ）。そのため、検査けんさの仕方しかたによってはレイヤ7ファイアウォールは相当そうとうな負荷ふかが掛かかり、ファイアウォールの処理しょり上じょうも、通信つうしん上じょうもボトルネックとなることもある。また、未成年みせいねんに好このましくないコンテンツのみを、末端まったんのユーザにはプロキシサーバの存在そんざいを意識いしきさせない状態じょうたいで、自動的じどうてきにフィルタリングしてしまうといった実装じっそうも可能かのうである。

なお、アプリケーションの通信つうしんの中身なかみも検査けんさするため、電気でんき通信つうしん事業じぎょう者しゃが自みずからが仲介ちゅうかいする通信つうしんの内容ないように立たち入いってはならない（通信つうしんの秘密ひみつ）と言いう原理げんり原則げんそくに反はんする検閲けんえつだと批判ひはんする向むきもある。通信つうしん事業じぎょうに携たずさわる技術ぎじゅつ者しゃや学者がくしゃの間あいだではこういった種類しゅるいのファイアウォールを設置せっちするという発想はっそうを強つよく批判ひはんする向むきもある^[誰だれ?]。

なお実際じっさいに、ISPのぷららがファイル共有きょうゆうソフトウェア Winnyの通信つうしんを全すべて遮断しゃだんする事ことを計画けいかく・発表はっぴょうし、それに対たいして通信つうしんの秘密ひみつを侵害しんがいする可能かのう性せいがあるとして総務そうむ省しょうから行政ぎょうせい指導しどうを受うけ、Winny遮断しゃだんは同どうISPユーザの利用りよう者しゃの選択せんたくに任まかせるとした事例じれいもあった。^{[要よう出典しゅってん]}

具体ぐたい的てきな実装じっそう例れい[編集へんしゅう]

上述じょうじゅつのパケットフィルタリング型がたや、サーキットレベルゲートウェイ型がたではそれぞれ、レイヤ3スイッチ（ルーター）やレイヤ4スイッチ等ひとしのハードウェア機器ききの一部いちぶ機能きのうとして組くみ込こまれている事ことも多おおい。この場合ばあい、ある程度ていど簡易かんいな条件じょうけんでしかパケット検査けんさをできないため、簡易かんいファイアウォール、広義こうぎのファイアウォールと呼よぶこともある。レイヤー7ファイアウォール(L7FW)は通信つうしんの内容ないようまで検査けんさするため、L7FWが本来ほんらいの（狭義きょうぎの）ファイアウォールであるとすることもある。

ソフトウェアによる実装じっそうとしては、UNIXでは伝統でんとう的てきにipfwが使つかわれてきた。カーネルレベルで動作どうさするため、オーバーヘッドが小ちいさく高速こうそくに動作どうさする。macOSでもipfwが実装じっそうされている。Linuxカーネルには iptables、ipchains、nftables等ひとしが実装じっそうされている。

WindowsではZoneAlarm、ノートンインターネットセキュリティ、ウイルスバスター、NetOp Desktop Firewall等ひとしのフリーウェアないし商用しょうようアプリケーションが普及ふきゅうしているが、これらはファイアウォールというよりは、IDSに近ちかい動作どうさをしている。しかし、一般いっぱん的てきにファイアウォールという語かたりが防護ぼうごのイメージを喚起かんきしやすいためか、用語ようごは混乱こんらんして使つかわれている。一般いっぱん的てきには、パーソナルファイアウォールと呼よばれる。

また、Windows XPでは、OSの機能きのうとして簡易かんい的てきなファイアウォールが標準ひょうじゅんで搭載とうさいされている（Windows XP SP2ではユーザーが初期しょき設定せっていを行おこなわずに利用りようできるように改良かいりょうされた）。純粋じゅんすいにスタティックなパケットフィルタ型がたファイアウォールの実装じっそうとしては、NEGiESなどがある。

主おもなファイアウォール製品せいひん[編集へんしゅう]

ソフトウェア型がた[編集へんしゅう]

Check Point VPN-1、FireWall-1
Clavister
Firestarter
ipfw
iptables
Microsoft Internet Security and Acceleration Server
nftables
NPF
PF
Symantec Client Security

ハードウェア型がた[編集へんしゅう]

Cisco PIX and Cisco ASA
Clavister
D-Link
FortiGate by Fortinet
IPCOM EX Series by Fujitsu
Juniper NetScreen
Nortel Stand-alone and Switched Firewall
SonicWALL
Symantec Gateway Security
VSR - バリオセキュア
WatchGuard Firebox
ステルスワン Fシリーズ

その他たフリーウェアなど[編集へんしゅう]

Devil-Linux (GPL)
pfSense (BSD-style license) (m0n0wall fork)

脚注きゃくちゅう[編集へんしゅう]

[脚注きゃくちゅうの使つかい方かた]

注釈ちゅうしゃく[編集へんしゅう]

^ たとえば、ペアレンタルコントロールや検閲けんえつ（グレート・ファイアウォール）など。

表ひょう話はなし編へん歴れきセキュリティソフト
インターネットセキュリティスイート	ALYac Internet Security Avast Internet Security AVG Internet Security CA インターネットセキュリティスイート COMODO Internet Security ESET Smart Security F-Secure インターネットセキュリティ G DATA インターネットセキュリティ Kaspersky Internet Security Kingsoft Internet Security ZEROウイルスセキュリティ/ZEROスーパーセキュリティウイルスバスターノートン 360 ノートンインターネットセキュリティマカフィーインターネットセキュリティ
アンチウイルスソフトウェア	AhnLab V3 Lite Avast Antivirus AVG Anti-Virus Avira Antivirus BitDefender CA アンチウイルス Clam AntiVirus Dr.Web Emsisoft Anti-Malware eTrust アンチウイルス F-Secure インターネットセキュリティ G DATA アンチウイルスキット Kaspersky Anti-Virus Microsoft Security Essentials NOD32アンチウイルス Panda Titanium Antivirus Microsoft Defender ウイルス対策たいさくノートンアンチウイルスマカフィーアンチウイルス Emsisoft Anti-Malware
アンチスパイウェア	Ad-Aware Anniversary Edition AhnLab スパイゼロ CA アンチスパイウェア Microsoft Security Essentials SGアンチスパイ Spybot - Search & Destroy SpywareBlaster カウンタースパイスパイスウィーパーゼロスパイウェア
パーソナルファイアウォール	Avast Software BlackICE Jetico Personal Firewall Kaspersky Anti-Hacker Look'n'Stop NEGiES Outpost Firewall Privatefirewall Sunbelt Personal Firewall ZoneAlarm ノートンパーソナルファイアーウォールマカフィーパーソナルファイアウォールプラス Emsisoft Online Armor
その他た	Microsoft Forefront
カテゴリ

表ひょう話はなし編へん歴れきマルウェア
伝染でんせん性せいマルウェア	コンピュータウイルスコンピューターウイルスの一覧いちらんワームワームの一覧いちらん（英語えいご版ばん）コンピュータウイルスとワームの年表ねんぴょう
潜伏せんぷく手法しゅほう	トロイの木馬もくばルートキットバックドアゾンビコンピュータ中ちゅう間あいだ者しゃ攻撃こうげきマン・イン・ザ・ブラウザ
収益しゅうえき型がたマルウェア	プライバシー侵害しんがいソフトウェア（英語えいご版ばん）アドウェアスパイウェアボットネットキーロガー Web threat（英語えいご版ばん）詐欺さぎダイヤラーマルボットスケアウェア偽装ぎそうセキュリティツールランサムウェア
OS別べつマルウェア	Linuxにおけるマルウェア携帯けいたい電話でんわウイルスマクロウイルス
マルウェアからの保護ほご	アンチキーロガー（英語えいご版ばん）アンチウイルスソフトウェアブラウザ・セキュリティ（英語えいご版ばん）モバイル・セキュリティ（英語えいご版ばん）ネットワーク・セキュリティ防御ぼうぎょコンピューティング（英語えいご版ばん）ファイアウォール侵入しんにゅう検知けんちシステムデータ損失そんしつ防止ぼうしソフトウェア（英語えいご版ばん）
マルウェアへの対策たいさく	コンピュータサーベイランス（英語えいご版ばん）ボットロースト作戦さくせん（英語えいご版ばん）ハニーポットスパイウェア対策たいさく連合れんごう（英語えいご版ばん）
カテゴリ