ファイアウォール種類

Q: ファイアウォールの一覧は？

ファイアウォール製品12選.

Q: ファイアウォールの分類は？

ファイアウォールには「パケットフィルタ型」と「ゲートウェイ型」に大別できます。 パケットフィルタはOSI参照モデルの下階層の方で通信制御ができる機能を持っています。 通信をパケット（データを小分けにした包みのようなもの）単位で解析をし、決められたルールで通信の通過と遮断を実行します。

この項目では、コンピュータネットワークについて説明しています。その他の用法については「ファイアウォール (曖昧さ回避)」をご覧ください。

目次 Show

概要[編集]
パケットフィルタ型[編集]
サーキットレベルゲートウェイ型[編集]
アプリケーションゲートウェイ型[編集]
具体的な実装例[編集]
主なファイアウォール製品[編集]
ソフトウェア型[編集]
ハードウェア型[編集]
その他フリーウェアなど[編集]
脚注[編集]
注釈[編集]
出典[編集]
関連項目[編集]
ファイアウォールの一覧は？
ファイアウォールの分類は？
ファイアウォールの別名は？
ファイアーウォール無効どうなる？

この記事には複数の問題があります。改善やノートページでの議論にご協力ください。

出典がまったく示されていないか不十分です。内容に関する文献や情報源が必要です。（2019年10月）
古い情報を更新する必要があります。（2021年4月）
出典検索?: "ファイアウォール" – ニュース · 書籍 · スカラー · CiNii · J-STAGE · NDL · dlib.jp · ジャパンサーチ · TWL

情報セキュリティとサイバーセキュリティ
対象別カテゴリ
ネットワーク・セキュリティインターネット・セキュリティ (英語版) コンピュータセキュリティモバイル・セキュリティ（英語版）車載セキュリティ（英語版）
隣接領域
安全保障
脅威
ウェブシェル（英語版）エクスプロイト権限昇格攻撃（英語版） DoS攻撃サイバー犯罪・サイバー戦争セキュリティホールスクリプトキディスパム盗聴フィッシングスミッシングマルウェアキーロガーコンピュータウイルススパイウェアトロイの木馬バックドアボットランサムウェアロジックボムワームワイパールートキット
防御
アクセス制御アプリケーション・セキュリティ（英語版）アンチウイルスソフトウェアセキュアOS セキュア・コーディング（英語版）セキュリティ・バイ・デザイン（英語版）セキュリティ・バイ・デフォルト（英語版）暗号侵入検知・防止システムデータ中心型セキュリティ（英語版）認可認証多要素認証ファイアウォールウェブアプリケーションファイアウォールモバイルセキュアゲートウェイ（英語版）ランタイムアプリケーション自己保護（英語版）
表話編歴

ファイアウォールの概念図

ファイアウォール（英: Firewall）は、コンピュータネットワークにおいて、ネットワークの結節、コンピュータセキュリティの保護、その他の目的[注釈 1]のため、通過させてはいけない通信を阻止するシステムを指す。

概要[編集]

ファイアウォールは、外部からの攻撃に対する防御だけではなく、内側から外部への望まない通信を制御することも出来る。ネットワークの利便性を損ねる場合もあるが、標的型攻撃などにより、内部にトロイの木馬が入り込んでしまっている場合などに、その活動を妨げる効果が期待できる。

ルーターにファイアウォールの機能を実装したものは、そのルーターを指して言うこともあるし、そういったアプライアンス商品などもある。近年ではネットワークの終端にあたる個々のコンピュータでも自分自身の防御のために、外部と接続するネットワークプロトコルスタック中に、望まない通信を防ぐ（たとえばTCPの接続要求など）フィルタなどを持っているものも多く、それらを指して言うこともある（たとえばWindowsには「Windows ファイアウォール」、macOSには「アプリケーションファイアウォール」がある）。

名称の元となった英語の「Firewall」は防火壁のことであり、通過させてはいけない通信を火に例えている。ファイアウォールを境界として3種類のゾーンを作成する。パケットの通過、拒否を決定するルールは、異なるゾーンへと向かうパケットを対象として作成することになる。

内部（Inside）ゾーン：外部から守るべきネットワーク。基本的に信頼できるものとして扱う。
外部（Outside）ゾーン：攻撃元となる可能性のあるネットワーク。基本的に信頼出来ないものとして扱う。
DMZ（DeMilitarized Zone：非武装ゾーン）：内部と外部の中間に置かれるゾーン。基本的に外部からアクセスできるのはこのゾーンのみとなる。

以下では、OSI参照モデルに従ったレイヤによって分類しつつ説明する。

パケットフィルタ型[編集]

OSI参照モデルにおけるネットワーク層(レイヤ3)やトランスポート層(レイヤ4)に相当するIPからTCP、UDP層の条件（ポリシー）で、通信の許可/不許可を判断するもの。狭義でのファイアウォールとは、このタイプのものを指す。このタイプはさらに、スタティックなものとダイナミックなものとに分類できる。

基本的にはレイヤ3で通信制御を判断するが、フィルタの種類によってはレイヤ4のヘッダも参照する。すなわち、TCP/UDPのセッション単位で管理する訳ではない。ただし、ステートフルパケットインスペクション型ではTCP/UDPセッションの一部も記憶して判断動作する。

スタティックなパケットフィルタIP通信において、宛先や送信元のIPアドレス、ポート番号などを監視し、あらかじめ設定した条件によって、その通信を受け入れる(ACCEPT)、廃棄する(DROP)、拒否する(REJECT)などの動作で通信を制御する。具体的には、外部から内部へ向かうパケットを選別して特定のサービスのみを通す、また内部から外部へ向かうパケットも、セキュリティホールになりかねないため、代表的なサービス以外は極力遮断する、といった設定が行われることが多い。仕組みが単純なため高速に動作するが、設定に手間がかかる、防ぎきれない攻撃があるなどの問題点がある。ダイナミックなパケットフィルタ宛先および送信元のIPアドレスやポート番号などの接続・遮断条件を、IPパケットの内容に応じて動的に変化させて通信制御を行う方式。スタティックなパケットフィルタで内部と外部で双方向の通信を行う場合は、内部から外部へ向かうパケットと、外部から内部へ向かうパケットの双方を明示的に許可しなければならない。一方、ダイナミックなパケットフィルタでは、内部から外部の通信を許可するだけで、その通信への応答に関してのみ、外部からの通信を受け入れる、といった動作を自動的に行う。ステートフルパケットインスペクションステートフルインスペクション(Stateful Packet Inspection、SPI)ともよばれる、ダイナミックなパケットフィルタリングの一種。レイヤ3のIPパケットが、どのレイヤ4（TCP/UDP）セッションに属するものであるか判断して、正当な手順のTCP/UDPセッションによるものとは判断できないような不正なパケットを拒否する。そのため、TCP/UDPセッションの一部情報を記憶して判断動作する。具体例として、ヘッダのSYNやACKフラグのハンドシェイクの状態などを記憶し、不正に送られてきたSYN/ACKパケットを廃棄する。

サーキットレベルゲートウェイ型[編集]

レイヤ3・IPパケットではなく、TCP/IPなどのレイヤ4・トランスポート層のレベルで通信を代替し、制御する。内部のネットワークから外部のネットワークへ接続する場合は、サーキットレベルゲートウェイに対してTCPのコネクションを張ったり、UDPのデータグラムを投げることになる。サーキットレベルゲートウェイは、自らに向けられていたIPアドレスとポート番号を本来のものへと振り替え、自らが外部と通信した結果を返すという動作をする。代表的なソフトウェア実装としてはSOCKSがある。また、ハードウェア実装としてレイヤ4スイッチにもこの機能を持たせる事ができる。

サーキットレベルゲートウェイは、あらかじめ多数のポートを開けたりNATを用意しなくても、プライベートIPアドレスしか持たない内部のネットワークからでも、外部のネットワークへ接続できるという点がメリットである。

アプリケーションゲートウェイ型[編集]

パケットではなく、レイヤ7のHTTP や FTP といった、アプリケーションプロトコルのレベルで外部との通信を代替し、制御するもの。一般的にはプロキシサーバと呼ばれている。アプリケーションゲートウェイ型ファイアウォールの内部のネットワークでは、アプリケーションはアプリケーションゲートウェイ（プロキシサーバ）と通信を行うだけであり、外部との通信はすべてプロキシサーバが仲介する。アプリケーションプロキシが用意されていないサービスについては、サーキットプロキシで対応する事が可能である。

このため、アプリケーションゲートウェイで許されているプロトコルでトンネリングを行うソフトウェア、例えばSoftEtherやhttptunnelといった、運用方法によってはセキュリティホールになりうる実装の利用を、かえって促進してしまうという事例も近年目立っている。強すぎるセキュリティポリシーが迂回路を招いてしまっているとも言える。

プロキシは単に中継するだけの物が多いが、レイヤ7ファイアウォールはアプリケーションの通信の中身も検査する事ができる（例：アクセスURLチェック、ウイルスチェック、情報漏洩検出）。そのため、検査の仕方によってはレイヤ7ファイアウォールは相当な負荷が掛かり、ファイアウォールの処理上も、通信上もボトルネックとなることもある。また、未成年に好ましくないコンテンツのみを、末端のユーザにはプロキシサーバの存在を意識させない状態で、自動的にフィルタリングしてしまうといった実装も可能である。

なお、アプリケーションの通信の中身も検査するため、電気通信事業者が自らが仲介する通信の内容に立ち入ってはならない（通信の秘密）と言う原理原則に反する検閲だと批判する向きもある。通信事業に携わる技術者や学者の間ではこういった種類のファイアウォールを設置するという発想を強く批判する向きもある[誰?]。

なお実際に、ISPのぷららがファイル共有ソフトウェアWinnyの通信を全て遮断する事を計画・発表し、それに対して通信の秘密を侵害する可能性があるとして総務省から行政指導を受け、Winny遮断は同ISPユーザの利用者の選択に任せるとした事例もあった。[要出典]

具体的な実装例[編集]

上述のパケットフィルタリング型や、サーキットレベルゲートウェイ型ではそれぞれ、レイヤ3スイッチ（ルーター）やレイヤ4スイッチ等のハードウェア機器の一部機能として組み込まれている事も多い。この場合、ある程度簡易な条件でしかパケット検査をできないため、簡易ファイアウォール、広義のファイアウォールと呼ぶこともある。レイヤー7ファイアウォール(L7FW)は通信の内容まで検査するため、L7FWが本来の（狭義の）ファイアウォールであるとすることもある。

ソフトウェアによる実装としては、UNIXでは伝統的にipfwが使われてきた。カーネルレベルで動作するため、オーバーヘッドが小さく高速に動作する。macOSでもipfwが実装されている。Linuxカーネルには iptables、ipchains、nftables等が実装されている。

WindowsではZoneAlarm、ノートンインターネットセキュリティ、ウイルスバスター、NetOp Desktop Firewall等のフリーウェアないし商用アプリケーションが普及しているが、これらはファイアウォールというよりは、IDSに近い動作をしている。しかし、一般的にファイアウォールという語が防護のイメージを喚起しやすいためか、用語は混乱して使われている。一般的には、パーソナルファイアウォールと呼ばれる。

また、Windows XPでは、OSの機能として簡易的なファイアウォールが標準で搭載されている（Windows XP SP2ではユーザーが初期設定を行わずに利用できるように改良された）。純粋にスタティックなパケットフィルタ型ファイアウォールの実装としては、NEGiESなどがある。

主なファイアウォール製品[編集]

ソフトウェア型[編集]

Check Point VPN-1、FireWall-1
Clavister
Firestarter
ipfw
iptables
Microsoft Internet Security and Acceleration Server
nftables
NPF
PF
Symantec Client Security

ハードウェア型[編集]

Cisco PIX and Cisco ASA
Clavister
D-Link
FortiGate by Fortinet
IPCOM EX Series by Fujitsu
Juniper NetScreen
Nortel Stand-alone and Switched Firewall
SonicWALL
Symantec Gateway Security
VSR - バリオセキュア
WatchGuard Firebox
ステルスワン Fシリーズ

その他フリーウェアなど[編集]

Devil-Linux (GPL)
pfSense (BSD-style license) (m0n0wall fork)

脚注[編集]

[脚注の使い方]

注釈[編集]

^ たとえば、ペアレンタルコントロールや検閲（グレート・ファイアウォール）など。

出典[編集]

関連項目[編集]

ウィキメディア・コモンズには、ファイアウォールに関連するカテゴリがあります。

DMZ
統合脅威管理（UTM: Unified threat management）
グレート・ファイアウォール

セキュリティソフト（カテゴリ）

インターネットセキュリティスイート

ALYac Internet Security
Avast Internet Security
AVG Internet Security
CA インターネットセキュリティスイート
COMODO Internet Security
ESET Smart Security
F-Secure インターネットセキュリティ
G DATA インターネットセキュリティ
Kaspersky Internet Security
Kingsoft Internet Security
ZEROウイルスセキュリティ/ZEROスーパーセキュリティ
ウイルスバスター
ノートン 360
ノートンインターネットセキュリティ
マカフィーインターネットセキュリティ

アンチウイルスソフトウェア

AhnLab V3 Lite
Avast Antivirus
AVG Anti-Virus
Avira Antivirus
BitDefender
CA アンチウイルス
Clam AntiVirus
Dr.Web
Emsisoft Anti-Malware
eTrust アンチウイルス
F-Secure インターネットセキュリティ
G DATA アンチウイルスキット
Kaspersky Anti-Virus
Microsoft Security Essentials
NOD32アンチウイルス
Panda Titanium Antivirus
Microsoft Defender ウイルス対策
ノートンアンチウイルス
マカフィーアンチウイルス
Emsisoft Anti-Malware

アンチスパイウェア

Ad-Aware Anniversary Edition
AhnLab スパイゼロ
CA アンチスパイウェア
Microsoft Security Essentials
SGアンチスパイ
Spybot - Search & Destroy
SpywareBlaster
カウンタースパイ
スパイスウィーパー
ゼロスパイウェア

パーソナルファイアウォール

Avast Software
BlackICE
Jetico Personal Firewall
Kaspersky Anti-Hacker
Look'n'Stop
NEGiES
Outpost Firewall
Privatefirewall
Sunbelt Personal Firewall
ZoneAlarm
ノートンパーソナルファイアーウォール
マカフィーパーソナルファイアウォールプラス
Emsisoft Online Armor

その他

Microsoft Forefront

マルウェア

伝染性マルウェア

コンピュータウイルス
コンピューターウイルスの一覧
ワーム
ワームの一覧（英語版）
コンピュータウイルスとワームの年表

潜伏手法

トロイの木馬
ルートキット
バックドア
ゾンビコンピュータ
中間者攻撃
マン・イン・ザ・ブラウザ

収益型マルウェア

プライバシー侵害ソフトウェア（英語版）
アドウェア
スパイウェア
ボットネット
キーロガー
Web threat（英語版）
詐欺ダイヤラー
マルボット
スケアウェア
偽装セキュリティツール
ランサムウェア

OS別マルウェア

Linuxにおけるマルウェア
携帯電話ウイルス
マクロウイルス

マルウェアからの保護

アンチキーロガー（英語版）
アンチウイルスソフトウェア
ブラウザ・セキュリティ（英語版）
モバイル・セキュリティ（英語版）
ネットワーク・セキュリティ
防御コンピューティング（英語版）
ファイアウォール
侵入検知システム
データ損失防止ソフトウェア（英語版）

マルウェアへの対策

コンピュータサーベイランス（英語版）
ボットロースト作戦（英語版）
ハニーポット
スパイウェア対策連合（英語版）

ファイアウォールソフトウェア

Web Application Firewall
Context-based access control（英語版）
パーソナルファイアウォール
Stateful firewall（英語版）
Virtual firewall（英語版）

Linux

アプリ

FireHOL（英語版）
Firestarter
firewalld
Netfilter（英語版）
- ipset（英語版）
- iptables
- l7-filter（英語版）
- NuFW（英語版）
MoBlock（英語版）
nftables
Privoxy
Shorewall（英語版）
Squid
Uncomplicated Firewall

ディストロ

Endian Firewall（英語版）
IPFire（英語版）
LEDE（英語版）
OpenWrt
SmoothWall（英語版）
Untangle（英語版）
Zeroshell（英語版）

BSD

アプリ

IPFilter（英語版）
ipfirewall
NPF
PF
- CARP
- pfsync（英語版）

ディストロ

m0n0wall（英語版）
OPNsense（英語版）
pfSense
SmallWall

macOS

Little Snitch（英語版）
NetBarrier X4（英語版）
PeerGuardian（英語版）
VirusBarrier X6

Windows

商用

Check Point Integrity（英語版）
Kaspersky Internet Security
McAfee Personal Firewall Plus（英語版）
Microsoft Forefront Threat Management Gateway
ノートン 360
ノートンインターネットセキュリティ
Norton Personal Firewall（英語版）
Outpost Firewall Pro（英語版）
Symantec Endpoint Protection
ウイルスバスター
Windows Defender ファイアウォール
Windows Live OneCare
WinGate（英語版）
WinRoute（英語版）

フリーミアム

Comodo Internet Security
ZoneAlarm

オープンソース

PeerBlock（英語版）
PeerGuardian（英語版）

アプライアンス

Palo Alto PAシリーズ（英語版）
F5 BIG-IPiシリーズ
FortiGateシリーズ
Novell BorderManager（英語版）
Vyatta
ZoneAlarm Z100G（英語版）
Zorp firewall（英語版）

ファイアウォールの比較（英語版）
ルーター・ファイアウォールディストリビューションの一覧（英語版）

典拠管理

全般

統合典拠ファイル（ドイツ）

国立図書館

アメリカ
チェコ

ファイアウォールの一覧は？

ファイアウォール製品12選.

Symantec Endpoint Protection..

FortiGate 次世代ファイアウォール (NGFW).

Untangle..

Sophos XG Firewall..

パロアルトネットワークス次世代ファイアウォール.

FWX120..

SonicWALL..

ファイアウォールの分類は？

ファイアウォールには「パケットフィルタ型」と「ゲートウェイ型」に大別できます。パケットフィルタはOSI参照モデルの下階層の方で通信制御ができる機能を持っています。通信をパケット（データを小分けにした包みのようなもの）単位で解析をし、決められたルールで通信の通過と遮断を実行します。

ファイアウォールの別名は？

防御する対象はネットワークか、アプリケーションか IPアドレスの割り当てや外部とのネットワーク通信を担う役割があります。ファイアウォールとは、日本語で「防火壁」と呼ばれており、その名が表すように外部と内部の間に入り、外部ネットワークの攻撃から内部ネットワークを守る役割を果たします。

ファイアーウォール無効どうなる？

Microsoft Defender ファイアウォールを無効にすると、デバイスやネットワーク (ある場合) が、不正アクセスの攻撃を受けやすくなります。ブロックされているアプリを使用する必要がある場合は、ファイアウォールを無効にするのではなく、ファイアウォールを経由できるようにします。

ファイアウォール 種類