ファイアウォール
ファイアウォール
ファイアウォールは、インターネットなどのリモートネットワークと社内LANなどの境界線に設置し、不正なデータの通過を阻止するものです。
ファイアウォールは、一定の規則に従ってパケットの通過/不通過を決定(フィルタリング)しますが、この規則の要素によって方式が分かれます。
パケットフィルタリング型
パケットのIPアドレス、ポート番号をチェックして、フィルタリングを行う。
サーキットレベルゲートウェイ型 (トランスポートゲートウェイ)
セグメントレベルのフィルタリングを行い、データを中継する。IPパケットによる通信制御に加え、TCPのセッション単位で任意のポートに関する通信の可否を制御できる。
アプリケーションゲートウェイ型
アプリケーションプロトコルレベルのフィルタリングを行い、データを中継する。
フィルタリングをするためには、ファイアウォールにフィルタリングルールを設定し、それに沿って各パケットの通過の可否を判断します。このフィルタリングルールの集合をルールベースといいます。
プロキシサーバ
アプリケーションゲートウェイ型ファイアウォールのうち、とくにHTTPを扱うものをプロキシサーバと呼ぶことがあります。プロキシサーバはクライアントからインターネット上のWebサーバへのアクセス要求を中継し、セキュリティの向上を図ります。
また、インターネットからのアクセスをWebサーバに中継するものをリバースプロキシサーバといいます。
WAF
WAF (Web Application Firewall)は、Webアプリケーションのやり取りを監視し、アプリケーションレベルの不正なアクセスを阻止するファイアウォールです。 Webブラウザからの通信内容を検査し、不正と見なされたアクセス (SQLインジェクションなどの攻撃)を遮断します。
WAFは、原則として通信を遮断し、ホワイトリスト(正常な通信パターンの一覧)と一致した通信のみ通過させるホワイトリスト方式と、原則として通信を許可し、ブラックリスト(不正な通信パターンの一覧)と一致した通信は遮断、あるいは無害化するブラックリスト方式の2つの方式に分類できる。
TLSアクセラレータとWAF
PCとWebサーバ間でHTTPSなどTLSを利用した暗号化通信をする場合、暗号化と復号処理がWebサーバにとって大きな負担になります。そこで、この処理を肩代わりしてWebサーバの負担を軽減するのがTLSアクセラレータです。
また、TLS通信の暗号化と復号機能(TLSアクセラレーション機能)をもたないWAFは、TLSアクセラレータとWebサーバの間に設置します。