ファイアウォール【firewall】

概要

ファイアウォール（firewall）とは、ネットワークの境界などに設置され、内外の通信を中継・監視し、外部の攻撃から内部を保護するためのソフトウェアや機器、システムなどのこと。

一般的な構成では、ファイアウォールに内部ネットワーク（LAN）の回線とインターネットなど外部ネットワーク（WAN）の回線を両方つなぎ、内部と外部の境界をまたぐ通信が必ずファイアウォールを通過するようにして、一定の基準に従って不正と判断した通信を遮断する。

サーバコンピュータ上でソフトウェアとして動作するものと、専用の通信機器（アプライアンス）として提供されるもの、ルータなどのネットワーク機器の機能の一つとして統合されているものがあり、防御対象や規模などに応じて選択する。パソコン向けのセキュリティソフトやオペレーティングシステム（OS）にはファイアウォール機能が含まれることもある。

パケットフィルタリング方式

ファイアウォールが通信の可否を判断する方式には様々なものがあるが、最も一般的なのは「パケットフィルタリング」（packet filtering）と呼ばれる方式で、内外を通過するパケットの制御情報（ヘッダ）を読み取り、あらかじめ指定された条件に基づいて通過か破棄かの判定を行う。

よく用いられる条件として、送信元IPアドレス、宛先IPアドレス、プロトコルの種類（ICMP/UDP/TCP）、送信元ポート番号、宛先ポート番号、通信の方向（内部→外部/外部→内部）などがあり、これらの組み合わせによって可否を指定することができる。

形式的な判定だけでなく、TCPコネクションの状態などを一定の過去まで記録しておき、過去の通信と辻褄の合わない奇妙な制御情報が記載されたパケットが届くと攻撃の試みであるとみなして拒絶する「ステートフルパケットインスペクション」（SPI）など、高度な判断が可能な製品もある。

他の方式

パケットフィルタ方式は原則としてIP（Internet Protocol）の制御情報を利用するが、トランスポート層のTCP（Transmission Control Protocol）やUDP（User Datagram Protocol）のレベルで通信の中継を行うものを「サーキットレベルゲートウェイ」という。SOCKSなどが該当し、通過や遮断の制御だけでなく、NATのようにプライベートIPアドレスとグローバルIPアドレスの変換なども行う。

また、さらに上位のHTTPなど個別のアプリケーション層のプロトコルの制御情報を用いて通信制御を行うものは「アプリケーションレベルゲートウェイ」という。プロキシサーバなどが該当し、アドレス変換やコンテンツのキャッシュ、ウイルスチェックなどの機能も合わせて提供される。

パーソナルファイアウォール

家庭などでパソコンに導入する個人向けの製品は「パーソナルファイアウォール」（PFW：Personal Firewall）と呼ばれる。パソコンと外部の機器とのネットワーク通信を監視し、あらかじめ指定された条件に基づいて許可された通信以外を遮断する。

単体の製品やフリーソフトウェアがあるほか、セキュリティソフトウェア企業などでは、アンチウイルスソフトなどと共に統合セキュリティソフトウェア（「○○インターネットセキュリティ」といった製品）の機能の一部として提供している場合がある。Windowsでは標準で内蔵されている「Windows Defender」にパーソナルファイアウォール機能が組み込まれている。

(2023.4.20更新)