firewallとは? わかりやすく解説

Weblio 辞書 > 辞書・百科事典 > デジタル大辞泉 > firewallの意味・解説 

ファイア‐ウォール【fire wall】

読み方:ふぁいあうぉーる

銀行証券業務兼営から生じ利益相反不正取引防止するため、銀行証券子会社の間に設け規制

ネットワークコンピューターに、インターネットあるいは公衆回線などを通して部外者無断侵入できないように防御するシステム

「ファイア‐ウォール」に似た言葉

Firewall

ファイアーウォール防火壁という意味)はインターネット・イントラネットで接続され社内グループ内)のホスト端末サーバーなど) 及び、ホスト内部機密情報外部からのウィルスや不正侵入者(特にハッカークラッカー呼ばれる人々) から守る装置総称を指す。

ファイアウォール

(firewall から転送)

出典: フリー百科事典『ウィキペディア(Wikipedia)』 (2023/12/22 09:02 UTC 版)

ファイアウォールの概念図

ファイアウォール: Firewall)は、コンピュータネットワークにおいて、ネットワークの結節、コンピュータセキュリティの保護、その他の目的[注釈 1]のため、通過させてはいけない通信を阻止するシステムを指す。

概要

ファイアウォールは、外部からの攻撃に対する防御だけではなく、内側から外部への望まない通信を制御することも出来る。ネットワークの利便性を損ねる場合もあるが、標的型攻撃などにより、内部にトロイの木馬が入り込んでしまっている場合などに、その活動を妨げる効果が期待できる。

ルーターを初めとしたアプライアンス商品にファイアウォールの機能を持つものもある。近年ではネットワークの終端にあたる個々のコンピュータでも自分自身の防御のために、外部と接続するネットワークプロトコルスタック中に、望まない通信を防ぐ(たとえばTCPの接続要求など)フィルタなどを持っているものも多く、それらを指して言うこともある(たとえばWindowsには「Windows ファイアウォール」、macOSには「アプリケーションファイアウォール」がある)。

名称の元となった英語の「Firewall」は防火壁のことであり、通過させてはいけない通信を火に例えている。ファイアウォールを境界として3種類のゾーンを作成する。パケットの通過、拒否を決定するルールは、異なるゾーンへと向かうパケットを対象として作成することになる。

  • 内部(Inside)ゾーン:外部から守るべきネットワーク。基本的に信頼できるものとして扱う。
  • 外部(Outside)ゾーン:攻撃元となる可能性のあるネットワーク。基本的に信頼出来ないものとして扱う。
  • DMZ(DeMilitarized Zone:非武装ゾーン):内部と外部の中間に置かれるゾーン。基本的に外部からアクセスできるのはこのゾーンのみとなる。

以下では、OSI参照モデルに従ったレイヤによって分類しつつ説明する。

パケットフィルタ型

OSI参照モデルにおけるネットワーク層(レイヤ3)やトランスポート層(レイヤ4)に相当するIPからTCPUDP層の条件(ポリシー)で、通信の許可/不許可を判断するもの。狭義でのファイアウォールとは、このタイプのものを指す。このタイプはさらに、スタティックなものとダイナミックなものとに分類できる。

基本的にはレイヤ3で通信制御を判断するが、フィルタの種類によってはレイヤ4のヘッダも参照する。すなわち、TCP/UDPのセッション単位で管理する訳ではない。ただし、ステートフルパケットインスペクション型ではTCP/UDPセッションの一部も記憶して判断動作する。

スタティックなパケットフィルタ
IP通信において、宛先や送信元のIPアドレスポート番号などを監視し、あらかじめ設定した条件によって、その通信を受け入れる(ACCEPT)、廃棄する(DROP)、拒否する(REJECT)などの動作で通信を制御する。具体的には、外部から内部へ向かうパケットを選別して特定のサービスのみを通す、また内部から外部へ向かうパケットも、セキュリティホールになりかねないため、代表的なサービス以外は極力遮断する、といった設定が行われることが多い。仕組みが単純なため高速に動作するが、設定に手間がかかる、防ぎきれない攻撃があるなどの問題点がある。
ダイナミックなパケットフィルタ
宛先および送信元のIPアドレスやポート番号などの接続・遮断条件を、IPパケットの内容に応じて動的に変化させて通信制御を行う方式。
スタティックなパケットフィルタで内部と外部で双方向の通信を行う場合は、内部から外部へ向かうパケットと、外部から内部へ向かうパケットの双方を明示的に許可しなければならない。一方、ダイナミックなパケットフィルタでは、内部から外部の通信を許可するだけで、その通信への応答に関してのみ、外部からの通信を受け入れる、といった動作を自動的に行う。
ステートフルパケットインスペクション
ステートフルインスペクション(Stateful Packet Inspection、SPI)ともよばれる、ダイナミックなパケットフィルタリングの一種。
レイヤ3のIPパケットが、どのレイヤ4(TCP/UDP)セッションに属するものであるか判断して、正当な手順のTCP/UDPセッションによるものとは判断できないような不正なパケットを拒否する。そのため、TCP/UDPセッションの一部情報を記憶して判断動作する。具体例として、ヘッダのSYNやACKフラグのハンドシェイクの状態などを記憶し、不正に送られてきたSYN/ACKパケットを廃棄する。

サーキットレベルゲートウェイ型

レイヤ3・IPパケットではなく、TCP/IPなどのレイヤ4・トランスポート層のレベルで通信を代替し、制御する。内部のネットワークから外部のネットワークへ接続する場合は、サーキットレベルゲートウェイに対してTCPのコネクションを張ったり、UDPのデータグラムを投げることになる。サーキットレベルゲートウェイは、自らに向けられていたIPアドレスとポート番号を本来のものへと振り替え、自らが外部と通信した結果を返すという動作をする。代表的なソフトウェア実装としてはSOCKSがある。また、ハードウェア実装としてレイヤ4スイッチにもこの機能を持たせる事ができる。

サーキットレベルゲートウェイは、あらかじめ多数のポートを開けたりNATを用意しなくても、プライベートIPアドレスしか持たない内部のネットワークからでも、外部のネットワークへ接続できるという点がメリットである。

アプリケーションゲートウェイ型

パケットではなく、レイヤ7のHTTPFTP といった、アプリケーションプロトコルのレベルで外部との通信を代替し、制御するもの。一般的にはプロキシサーバと呼ばれている。アプリケーションゲートウェイ型ファイアウォールの内部のネットワークでは、アプリケーションはアプリケーションゲートウェイ(プロキシサーバ)と通信を行うだけであり、外部との通信はすべてプロキシサーバが仲介する。アプリケーションプロキシが用意されていないサービスについては、サーキットプロキシで対応する事が可能である。

このため、アプリケーションゲートウェイで許されているプロトコルトンネリングを行うソフトウェア、例えばSoftEtherやhttptunnelといった、運用方法によってはセキュリティホールになりうる実装の利用を、かえって促進してしまうという事例も近年目立っている。強すぎるセキュリティポリシーが迂回路を招いてしまっているとも言える。

プロキシは単に中継するだけの物が多いが、レイヤ7ファイアウォールはアプリケーションの通信の中身も検査する事ができる(例:アクセスURLチェック、ウイルスチェック、情報漏洩検出)。そのため、検査の仕方によってはレイヤ7ファイアウォールは相当な負荷が掛かり、ファイアウォールの処理上も、通信上もボトルネックとなることもある。また、未成年に好ましくないコンテンツのみを、末端のユーザにはプロキシサーバの存在を意識させない状態で、自動的にフィルタリングしてしまうといった実装も可能である。

なお、アプリケーションの通信の中身も検査するため、電気通信事業者が自らが仲介する通信の内容に立ち入ってはならない(通信の秘密)と言う原理原則に反する検閲だと批判する向きもある。通信事業に携わる技術者や学者の間ではこういった種類のファイアウォールを設置するという発想を強く批判する向きもある[誰?]

なお実際に、ISPぷららファイル共有ソフトウェアWinnyの通信を全て遮断する事を計画・発表し、それに対して通信の秘密を侵害する可能性があるとして総務省から行政指導を受け、Winny遮断は同ISPユーザの利用者の選択に任せるとした事例もあった。[要出典]

具体的な実装例

上述のパケットフィルタリング型や、サーキットレベルゲートウェイ型ではそれぞれ、レイヤ3スイッチルーター)やレイヤ4スイッチ等のハードウェア機器の一部機能として組み込まれている事も多い。この場合、ある程度簡易な条件でしかパケット検査をできないため、簡易ファイアウォール、広義のファイアウォールと呼ぶこともある。レイヤー7ファイアウォール(L7FW)は通信の内容まで検査するため、L7FWが本来の(狭義の)ファイアウォールであるとすることもある。

ソフトウェアによる実装としては、UNIXでは伝統的にipfwが使われてきた。カーネルレベルで動作するため、オーバーヘッドが小さく高速に動作する。macOSでもipfwが実装されている。Linuxカーネルには iptables、ipchains、nftables等が実装されている。

WindowsではZoneAlarmノートン インターネットセキュリティウイルスバスター、NetOp Desktop Firewall等のフリーウェアないし商用アプリケーションが普及しているが、これらはファイアウォールというよりは、IDSに近い動作をしている。しかし、一般的にファイアウォールという語が防護のイメージを喚起しやすいためか、用語は混乱して使われている。一般的には、パーソナルファイアウォールと呼ばれる。

また、Windows XPでは、OSの機能として簡易的なファイアウォールが標準で搭載されている(Windows XP SP2ではユーザーが初期設定を行わずに利用できるように改良された)。純粋にスタティックなパケットフィルタ型ファイアウォールの実装としては、NEGiESなどがある。

主なファイアウォール製品

ソフトウェア型

ハードウェア型

その他フリーウェアなど

脚注

注釈

出典

関連項目


「fire wall」の例文・使い方・用例・文例

Weblio日本語例文用例辞書はプログラムで機械的に例文を生成しているため、不適切な項目が含まれていることもあります。ご了承くださいませ。


英和和英テキスト翻訳>> Weblio翻訳
英語⇒日本語日本語⇒英語
  

辞書ショートカット

すべての辞書の索引

「firewall」の関連用語

firewallのお隣キーワード
検索ランキング

   

英語⇒日本語
日本語⇒英語
   



firewallのページの著作権
Weblio 辞書 情報提供元は 参加元一覧 にて確認できます。

   
デジタル大辞泉デジタル大辞泉
(C)Shogakukan Inc.
株式会社 小学館
JERICHO CONSULTINGJERICHO CONSULTING
Copyright (C) 2025by Jericho Consulting Co.,Ltd. All Rights Reserved.
アライドテレシス株式会社アライドテレシス株式会社
Copyright(c)2025 Allied Telesis K.K. All Rights Reserved.
JMCJMC
2025 (C) JMC Corpyright All Rights Reserved
株式会社ジェイエムシー情報セキュリティ用語集
ウィキペディアウィキペディア
All text is available under the terms of the GNU Free Documentation License.
この記事は、ウィキペディアのファイアウォール (改訂履歴)の記事を複製、再配布したものにあたり、GNU Free Documentation Licenseというライセンスの下で提供されています。 Weblio辞書に掲載されているウィキペディアの記事も、全てGNU Free Documentation Licenseの元に提供されております。
Tanaka Corpusのコンテンツは、特に明示されている場合を除いて、次のライセンスに従います:
 Creative Commons Attribution (CC-BY) 2.0 France.
この対訳データはCreative Commons Attribution 3.0 Unportedでライセンスされています。
浜島書店 Catch a Wave
Copyright © 1995-2025 Hamajima Shoten, Publishers. All rights reserved.
株式会社ベネッセコーポレーション株式会社ベネッセコーポレーション
Copyright © Benesse Holdings, Inc. All rights reserved.
研究社研究社
Copyright (c) 1995-2025 Kenkyusha Co., Ltd. All rights reserved.
日本語WordNet日本語WordNet
日本語ワードネット1.1版 (C) 情報通信研究機構, 2009-2010 License All rights reserved.
WordNet 3.0 Copyright 2006 by Princeton University. All rights reserved. License
日外アソシエーツ株式会社日外アソシエーツ株式会社
Copyright (C) 1994- Nichigai Associates, Inc., All rights reserved.
「斎藤和英大辞典」斎藤秀三郎著、日外アソシエーツ辞書編集部編
EDRDGEDRDG
This page uses the JMdict dictionary files. These files are the property of the Electronic Dictionary Research and Development Group, and are used in conformance with the Group's licence.

©2025 GRAS Group, Inc.RSS