ファイアウォール

この項目では、コンピュータネットワークについて説明しています。その他の用法については「ファイアウォール (曖昧さ回避)」をご覧ください。

情報セキュリティとサイバーセキュリティ
対象別カテゴリ
ネットワーク・セキュリティインターネット・セキュリティ (英語版) コンピュータセキュリティモバイル・セキュリティ（英語版）車載セキュリティ（英語版）
隣接領域
安全保障
脅威
ウェブシェル（英語版）エクスプロイト権限昇格攻撃（英語版） DoS攻撃サイバー犯罪・サイバー戦争セキュリティホールスクリプトキディスパム盗聴フィッシングスミッシングマルウェアキーロガーコンピュータウイルススパイウェアトロイの木馬バックドアボットランサムウェアロジックボムワームワイパールートキット
防御
アクセス制御アプリケーション・セキュリティ（英語版）アンチウイルスソフトウェアセキュアOS セキュア・コーディング（英語版）セキュリティ・バイ・デザイン（英語版）セキュリティ・バイ・デフォルト（英語版）暗号侵入検知・防止システムデータ中心型セキュリティ（英語版）認可認証多要素認証ファイアウォールウェブアプリケーションファイアウォールモバイルセキュアゲートウェイ（英語版）ランタイムアプリケーション自己保護（英語版）
表話編歴

ファイアウォール（英: Firewall）は、コンピュータネットワークにおいて、ネットワークの結節、コンピュータセキュリティの保護、その他の目的^{[注釈 1]}のため、通過させてはいけない通信を阻止するシステムを指す。

概要

ファイアウォールは、外部からの攻撃に対する防御だけではなく、内側から外部への望まない通信を制御することも出来る。ネットワークの利便性を損ねる場合もあるが、標的型攻撃などにより、内部にトロイの木馬が入り込んでしまっている場合などに、その活動を妨げる効果が期待できる。

ルーターを初めとしたアプライアンス商品にファイアウォールの機能を持つものもある。近年ではネットワークの終端にあたる個々のコンピュータでも自分自身の防御のために、外部と接続するネットワークプロトコルスタック中に、望まない通信を防ぐ（たとえばTCPの接続要求など）フィルタなどを持っているものも多く、それらを指して言うこともある（たとえばWindowsには「Windows ファイアウォール」、macOSには「アプリケーションファイアウォール」がある）。

名称の元となった英語の「Firewall」は防火壁のことであり、通過させてはいけない通信を火に例えている。ファイアウォールを境界として3種類のゾーンを作成する。パケットの通過、拒否を決定するルールは、異なるゾーンへと向かうパケットを対象として作成することになる。

内部（Inside）ゾーン：外部から守るべきネットワーク。基本的に信頼できるものとして扱う。
外部（Outside）ゾーン：攻撃元となる可能性のあるネットワーク。基本的に信頼出来ないものとして扱う。
DMZ（DeMilitarized Zone：非武装ゾーン）：内部と外部の中間に置かれるゾーン。基本的に外部からアクセスできるのはこのゾーンのみとなる。

以下では、OSI参照モデルに従ったレイヤによって分類しつつ説明する。

パケットフィルタ型

OSI参照モデルにおけるネットワーク層(レイヤ3)やトランスポート層(レイヤ4)に相当するIPからTCP、UDP層の条件（ポリシー）で、通信の許可/不許可を判断するもの。狭義でのファイアウォールとは、このタイプのものを指す。このタイプはさらに、スタティックなものとダイナミックなものとに分類できる。

基本的にはレイヤ3で通信制御を判断するが、フィルタの種類によってはレイヤ4のヘッダも参照する。すなわち、TCP/UDPのセッション単位で管理する訳ではない。ただし、ステートフルパケットインスペクション型ではTCP/UDPセッションの一部も記憶して判断動作する。

スタティックなパケットフィルタ: IP通信において、宛先や送信元のIPアドレス、ポート番号などを監視し、あらかじめ設定した条件によって、その通信を受け入れる(ACCEPT)、廃棄する(DROP)、拒否する(REJECT)などの動作で通信を制御する。具体的には、外部から内部へ向かうパケットを選別して特定のサービスのみを通す、また内部から外部へ向かうパケットも、セキュリティホールになりかねないため、代表的なサービス以外は極力遮断する、といった設定が行われることが多い。仕組みが単純なため高速に動作するが、設定に手間がかかる、防ぎきれない攻撃があるなどの問題点がある。
ダイナミックなパケットフィルタ: 宛先および送信元のIPアドレスやポート番号などの接続・遮断条件を、IPパケットの内容に応じて動的に変化させて通信制御を行う方式。; スタティックなパケットフィルタで内部と外部で双方向の通信を行う場合は、内部から外部へ向かうパケットと、外部から内部へ向かうパケットの双方を明示的に許可しなければならない。一方、ダイナミックなパケットフィルタでは、内部から外部の通信を許可するだけで、その通信への応答に関してのみ、外部からの通信を受け入れる、といった動作を自動的に行う。
ステートフルパケットインスペクション: ステートフルインスペクション(Stateful Packet Inspection、SPI)ともよばれる、ダイナミックなパケットフィルタリングの一種。; レイヤ3のIPパケットが、どのレイヤ4（TCP/UDP）セッションに属するものであるか判断して、正当な手順のTCP/UDPセッションによるものとは判断できないような不正なパケットを拒否する。そのため、TCP/UDPセッションの一部情報を記憶して判断動作する。具体例として、ヘッダのSYNやACKフラグのハンドシェイクの状態などを記憶し、不正に送られてきたSYN/ACKパケットを廃棄する。

サーキットレベルゲートウェイ型

レイヤ3・IPパケットではなく、TCP/IPなどのレイヤ4・トランスポート層のレベルで通信を代替し、制御する。内部のネットワークから外部のネットワークへ接続する場合は、サーキットレベルゲートウェイに対してTCPのコネクションを張ったり、UDPのデータグラムを投げることになる。サーキットレベルゲートウェイは、自らに向けられていたIPアドレスとポート番号を本来のものへと振り替え、自らが外部と通信した結果を返すという動作をする。代表的なソフトウェア実装としてはSOCKSがある。また、ハードウェア実装としてレイヤ4スイッチにもこの機能を持たせる事ができる。

サーキットレベルゲートウェイは、あらかじめ多数のポートを開けたりNATを用意しなくても、プライベートIPアドレスしか持たない内部のネットワークからでも、外部のネットワークへ接続できるという点がメリットである。

アプリケーションゲートウェイ型

パケットではなく、レイヤ7のHTTP や FTP といった、アプリケーションプロトコルのレベルで外部との通信を代替し、制御するもの。一般的にはプロキシサーバと呼ばれている。アプリケーションゲートウェイ型ファイアウォールの内部のネットワークでは、アプリケーションはアプリケーションゲートウェイ（プロキシサーバ）と通信を行うだけであり、外部との通信はすべてプロキシサーバが仲介する。アプリケーションプロキシが用意されていないサービスについては、サーキットプロキシで対応する事が可能である。

このため、アプリケーションゲートウェイで許されているプロトコルでトンネリングを行うソフトウェア、例えばSoftEtherやhttptunnelといった、運用方法によってはセキュリティホールになりうる実装の利用を、かえって促進してしまうという事例も近年目立っている。強すぎるセキュリティポリシーが迂回路を招いてしまっているとも言える。

プロキシは単に中継するだけの物が多いが、レイヤ7ファイアウォールはアプリケーションの通信の中身も検査する事ができる（例：アクセスURLチェック、ウイルスチェック、情報漏洩検出）。そのため、検査の仕方によってはレイヤ7ファイアウォールは相当な負荷が掛かり、ファイアウォールの処理上も、通信上もボトルネックとなることもある。また、未成年に好ましくないコンテンツのみを、末端のユーザにはプロキシサーバの存在を意識させない状態で、自動的にフィルタリングしてしまうといった実装も可能である。

なお、アプリケーションの通信の中身も検査するため、電気通信事業者が自らが仲介する通信の内容に立ち入ってはならない（通信の秘密）と言う原理原則に反する検閲だと批判する向きもある。通信事業に携わる技術者や学者の間ではこういった種類のファイアウォールを設置するという発想を強く批判する向きもある^[誰?]。

なお実際に、ISPのぷららがファイル共有ソフトウェア Winnyの通信を全て遮断する事を計画・発表し、それに対して通信の秘密を侵害する可能性があるとして総務省から行政指導を受け、Winny遮断は同ISPユーザの利用者の選択に任せるとした事例もあった。^[要出典]

具体的な実装例

上述のパケットフィルタリング型や、サーキットレベルゲートウェイ型ではそれぞれ、レイヤ3スイッチ（ルーター）やレイヤ4スイッチ等のハードウェア機器の一部機能として組み込まれている事も多い。この場合、ある程度簡易な条件でしかパケット検査をできないため、簡易ファイアウォール、広義のファイアウォールと呼ぶこともある。レイヤー7ファイアウォール(L7FW)は通信の内容まで検査するため、L7FWが本来の（狭義の）ファイアウォールであるとすることもある。

ソフトウェアによる実装としては、UNIXでは伝統的にipfwが使われてきた。カーネルレベルで動作するため、オーバーヘッドが小さく高速に動作する。macOSでもipfwが実装されている。Linuxカーネルには iptables、ipchains、nftables等が実装されている。

WindowsではZoneAlarm、ノートンインターネットセキュリティ、ウイルスバスター、NetOp Desktop Firewall等のフリーウェアないし商用アプリケーションが普及しているが、これらはファイアウォールというよりは、IDSに近い動作をしている。しかし、一般的にファイアウォールという語が防護のイメージを喚起しやすいためか、用語は混乱して使われている。一般的には、パーソナルファイアウォールと呼ばれる。

また、Windows XPでは、OSの機能として簡易的なファイアウォールが標準で搭載されている（Windows XP SP2ではユーザーが初期設定を行わずに利用できるように改良された）。純粋にスタティックなパケットフィルタ型ファイアウォールの実装としては、NEGiESなどがある。

主なファイアウォール製品

ソフトウェア型

Check Point VPN-1、FireWall-1
Clavister
Firestarter
ipfw
iptables
Microsoft Internet Security and Acceleration Server
nftables
NPF
PF
Symantec Client Security

ハードウェア型

Cisco PIX and Cisco ASA
Clavister
D-Link
FortiGate by Fortinet
IPCOM EX Series by Fujitsu
Juniper NetScreen
Nortel Stand-alone and Switched Firewall
SonicWALL
Symantec Gateway Security
VSR - バリオセキュア
WatchGuard Firebox
ステルスワン Fシリーズ

その他フリーウェアなど

Devil-Linux (GPL)
pfSense (BSD-style license) (m0n0wall fork)

脚注

[脚注の使い方]

注釈

^ たとえば、ペアレンタルコントロールや検閲（グレート・ファイアウォール）など。

出典

関連項目

ウィキメディア・コモンズには、ファイアウォールに関連するカテゴリがあります。

DMZ
統合脅威管理（UTM: Unified threat management）
グレート・ファイアウォール

表話編歴セキュリティソフト
インターネットセキュリティスイート	ALYac Internet Security Avast Internet Security AVG Internet Security CA インターネットセキュリティスイート COMODO Internet Security ESET Smart Security F-Secure インターネットセキュリティ G DATA インターネットセキュリティ Kaspersky Internet Security Kingsoft Internet Security ZEROウイルスセキュリティ/ZEROスーパーセキュリティウイルスバスターノートン 360 ノートンインターネットセキュリティマカフィーインターネットセキュリティ
アンチウイルスソフトウェア	AhnLab V3 Lite Avast Antivirus AVG Anti-Virus Avira Antivirus BitDefender CA アンチウイルス Clam AntiVirus Dr.Web Emsisoft Anti-Malware eTrust アンチウイルス F-Secure インターネットセキュリティ G DATA アンチウイルスキット Kaspersky Anti-Virus Microsoft Security Essentials NOD32アンチウイルス Panda Titanium Antivirus Microsoft Defender ウイルス対策ノートンアンチウイルスマカフィーアンチウイルス Emsisoft Anti-Malware
アンチスパイウェア	Ad-Aware Anniversary Edition AhnLab スパイゼロ CA アンチスパイウェア Microsoft Security Essentials SGアンチスパイ Spybot - Search & Destroy SpywareBlaster カウンタースパイスパイスウィーパーゼロスパイウェア
パーソナルファイアウォール	Avast Software BlackICE Jetico Personal Firewall Kaspersky Anti-Hacker Look'n'Stop NEGiES Outpost Firewall Privatefirewall Sunbelt Personal Firewall ZoneAlarm ノートンパーソナルファイアーウォールマカフィーパーソナルファイアウォールプラス Emsisoft Online Armor
その他	Microsoft Forefront
カテゴリ

表話編歴マルウェア
伝染性マルウェア	コンピュータウイルスコンピューターウイルスの一覧ワームワームの一覧（英語版）コンピュータウイルスとワームの年表
潜伏手法	トロイの木馬ルートキットバックドアゾンビコンピュータ中間者攻撃マン・イン・ザ・ブラウザ
収益型マルウェア	プライバシー侵害ソフトウェア（英語版）アドウェアスパイウェアボットネットキーロガー Web threat（英語版）詐欺ダイヤラーマルボットスケアウェア偽装セキュリティツールランサムウェア
OS別マルウェア	Linuxにおけるマルウェア携帯電話ウイルスマクロウイルス
マルウェアからの保護	アンチキーロガー（英語版）アンチウイルスソフトウェアブラウザ・セキュリティ（英語版）モバイル・セキュリティ（英語版）ネットワーク・セキュリティ防御コンピューティング（英語版）ファイアウォール侵入検知システムデータ損失防止ソフトウェア（英語版）
マルウェアへの対策	コンピュータサーベイランス（英語版）ボットロースト作戦（英語版）ハニーポットスパイウェア対策連合（英語版）
カテゴリ

ファイアウォールソフトウェア

Web Application Firewall
Context-based access control（英語版）
パーソナルファイアウォール
Stateful firewall（英語版）
Virtual firewall（英語版）

Linux

アプリ	FireHOL（英語版） Firestarter firewalld Netfilter（英語版） ipset（英語版） iptables l7-filter（英語版） NuFW（英語版） MoBlock（英語版） nftables Privoxy Shorewall（英語版） Squid Uncomplicated Firewall
ディストロ	Endian Firewall（英語版） IPFire（英語版） LEDE（英語版） OpenWrt SmoothWall（英語版） Untangle（英語版） Zeroshell（英語版）

BSD

アプリ	IPFilter（英語版） ipfirewall NPF PF CARP pfsync（英語版）
ディストロ	m0n0wall（英語版） OPNsense（英語版） pfSense SmallWall

macOS

Little Snitch（英語版）
NetBarrier X4（英語版）
PeerGuardian（英語版）
VirusBarrier X6

Windows

商用	Check Point Integrity（英語版） Kaspersky Internet Security McAfee Personal Firewall Plus（英語版） Microsoft Forefront Threat Management Gateway ノートン 360 ノートンインターネットセキュリティ Norton Personal Firewall（英語版） Outpost Firewall Pro（英語版） Symantec Endpoint Protection ウイルスバスター Windows Defender ファイアウォール Windows Live OneCare WinGate（英語版） WinRoute（英語版）
フリーミアム	Comodo Internet Security ZoneAlarm
オープンソース	PeerBlock（英語版） PeerGuardian（英語版）