次世代ファイアウォール【next generation firewall】NGFW

概要

従来のファイアウォールは、通信相手のIPアドレス、送信元や宛先のポート番号、TCPの通信状態に矛盾がないか（ステートフルパケットインスペクション）などを元に通信の許可や拒否を判断するのが一般的だった。

次世代ファイアウォールはこれに加え、アプリケーション層（HTTPなど）の通信内容を解析（ディープパケットインスペクション）し、どのアプリケーションが通信を試みているのかを識別したり、外部からの不審なアクセスを探知（IDS/IPS：侵入検知/防止システム）し、可否の判断に加えることができる。

近年ではWebベースのシステムで提供されるネットサービスやアプリケーションが増えており、従来型のポート番号ベースの判断では詳細な制御が難しくなりつつある。次世代ファイアウォールであれば一般的なWeb閲覧は許可しつつ特定のWebサービスの利用を禁止するといったアプリケーションごとの細かい制御が可能となる。

次世代ファイアウォールの機能にアンチウイルスゲートウェイやアンチスパム、VPNなど他の機能を統合した総合的なネットワークセキュリティ対策機器を「UTMアプライアンス」（Unified Threat Management）というが、次世代ファイアウォールとUTMの境界は厳密なものではなく曖昧で、似たような機能の製品でもメーカーによって製品区分が異なることもある。