ページの作成
親となるページを選択してください。
親ページに紐づくページを子ページといいます。
例: 親=スポーツ, 子1=サッカー, 子2=野球
子ページを親ページとして更に子ページを作成することも可能です。
例: 親=サッカー, 子=サッカーのルール
親ページはいつでも変更することが可能なのでとりあえず作ってみましょう!
| この記事の要点 |
|
概要
ファイアウォールは、ネットワークの境界に置かれた「関所」です。通過しようとする通信を許可ルールと拒否ルールに照らし合わせ、許可された通信だけを通し、それ以外を遮断します。インターネットからの不正アクセスや、内部から外部への意図しない通信を制御する、ネットワークセキュリティの最も基本的な防御線です。
動作する層によって性質が変わります。古典的なファイアウォールは L3/L4(IP アドレスとポート番号)で判断します。一方、次世代ファイアウォール(NGFW)や UTM は L7(アプリケーションの中身)まで見て制御します。「どの層で何を見て判断するか」がファイアウォールを理解する鍵です。
仕組み
もっとも基本的な方式がパケットフィルタリングです。1 つ 1 つのパケットについて、送信元 IP・宛先 IP・送信元ポート・宛先ポート・プロトコル(TCP/UDP)を見て、ルールに合致すれば許可、しなければ拒否します。高速ですが、パケットを個別に見るだけなので「この応答は、さっき自分が出した要求への返事か?」を判断できません。これがステートレスな動作です。
これを改良したのがステートフルインスペクションです。ファイアウォールがコネクション(通信の状態)を表で記憶し、「内部から出ていった通信の応答」を自動的に許可します。おかげで「行きのルールだけ書けば帰りは自動で通る」ため、ルールが大幅に簡潔になり、戻りパケットを狙った攻撃も防ぎやすくなります。現代の iptables/nftables を含むほとんどのファイアウォールはステートフルです。
ネットワーク構成上の重要概念が DMZ(DeMilitarized Zone / 非武装地帯)です。Web サーバーやメールサーバーのように外部に公開する必要があるホストを、内部 LAN とは別のセグメントに置きます。万が一公開サーバーが乗っ取られても、DMZ と内部 LAN の間にもう一段ファイアウォールがあるため、被害が内部に波及しにくくなります。
L4 と L7 の違いも押さえましょう。L4 ファイアウォールは「ポート 443 を許可」までしか言えませんが、L7(NGFW)は「ポート 443 を流れる通信のうち、特定のアプリや危険な URL は遮断」といったアプリ単位の制御ができます。UTM はこれにアンチウイルス・IDS/IPS・Web フィルタなどを 1 台に統合した製品カテゴリです。
設定・実用例
クラウドのセキュリティグループや OS のファイアウォールも考え方は同じです。Linux の ufw による基本的な許可・拒否の例です。
# デフォルトは全拒否、出ていく通信は許可
ufw default deny incoming
ufw default allow outgoing
# SSH(22) と HTTPS(443) のみ許可
ufw allow 22/tcp
ufw allow 443/tcp
# 特定の管理元 IP だけ SSH を許可(IP 制限)
ufw allow from 203.0.113.10 to any port 22 proto tcp
ufw enable
ufw status verbose特定 IP だけを通す手法の詳細は IP制限をかける方法 も参照してください。
主な用途
- 境界防御:インターネットと社内 LAN の境界で不正アクセスを遮断
- サーバー保護:必要なポート以外を閉じ、攻撃面を最小化
- セグメント分離:DMZ・開発/本番ネットの分離
- アウトバウンド制御:マルウェアの外部通信(C2)を遮断
比較テーブル
| 方式 | 見る情報 | 状態管理 | 特徴 |
|---|---|---|---|
| ステートレス パケットフィルタ | IP・ポート(L3/L4) | なし | 高速だが戻り通信の設定が煩雑 |
| ステートフル | IP・ポート+接続状態 | あり | 応答を自動許可。現在の標準 |
| 次世代FW(NGFW) | アプリ・URL(L7) | あり | アプリ単位の制御・侵入防御 |
| UTM | L3〜L7+複合機能 | あり | AV・IDS・フィルタを統合 |
注意点
- デフォルト拒否(ホワイトリスト)が原則。「許可を明示し、それ以外は全拒否」とする
- ファイアウォールは万能ではない。許可したポート上のアプリ脆弱性は防げない
- ルールは増えると管理不能になる。定期的に棚卸しし不要ルールを削除する
- 境界防御だけに頼らず、ゼロトラストの考えで内部通信も検証する
関連リンク
ページの作成
親となるページを選択してください。
親ページに紐づくページを子ページといいます。
例: 親=スポーツ, 子1=サッカー, 子2=野球
子ページを親ページとして更に子ページを作成することも可能です。
例: 親=サッカー, 子=サッカーのルール
親ページはいつでも変更することが可能なのでとりあえず作ってみましょう!
子ページはありません
人気ページ
- 1 Eclipseで「サーバーに追加または除去できるリソースがありません。」の原因と対処法
- 2 tomcat の起動 / 停止ログと catalina.log・catalina.out の違い
- 3 JavaScript base URL 取得方法|window.location.origin と SSR/Node.js 対応
- 4 YouTube Data API v3 エラー一覧|403/400/404 の主要原因と切り分け
- 5 Spring Frameworkのアノテーション一覧
- 6 Laravel エラー一覧|500/Blade/DB 接続/ルーティングの代表エラー
- 7 3Dグラフィックスとは|モデリング/レンダリング/主要ソフトウェア (Blender / Maya)
- 8 【Spring】@Valueアノテーションとは
- 9 CATALINA_HOME の確認方法 (Linux / Mac)
- 10 【Spring】@Autowiredアノテーションとは
最近更新/作成されたページ
- IPv6とは|128bitアドレス・コロン16進表記/::省略・リンクローカル・SLAAC・デュアルスタック NEW 2026-06-22 12:34:44
- MAC アドレスフィルタリングの仕組みと限界 | ネットワーク入門 NEW 2026-06-22 12:19:10
- VPNとは|暗号トンネル・サイト間/リモートアクセス・IPsec/SSL-VPN/WireGuardを解説 NEW 2026-06-22 12:19:10
- Web通信プロトコル入門 HTTP/2・HTTP/3・WebSocket・gRPC・WebRTC | ネットワーク入門 NEW 2026-06-22 12:17:25
- WebRTC とは ブラウザ間 P2P の音声・映像・データ通信 | ネットワーク入門 NEW 2026-06-22 12:17:25
- HTTP/2 とは 多重化・HPACK・バイナリフレーム | ネットワーク入門 NEW 2026-06-22 12:17:25
- HTTP/3 (QUIC) とは UDP ベースの低遅延 Web 通信 | ネットワーク入門 NEW 2026-06-22 12:17:25
- WebSocket とは 全二重リアルタイム通信 ws/wss | ネットワーク入門 NEW 2026-06-22 12:17:25
- gRPC とは HTTP/2 + Protocol Buffers の高速 RPC | ネットワーク入門 NEW 2026-06-22 12:17:25
- ファイアウォールとは|パケットフィルタ・ステートフル・DMZ・次世代FW(L4/L7)を解説 NEW 2026-06-22 12:17:24
- TLS/SSLの仕組み|ハンドシェイク・暗号スイート・前方秘匿性・証明書検証をわかりやすく解説 NEW 2026-06-22 12:17:24
- CDN とは エッジキャッシュ・TTL・Cloudflare/CloudFront | ネットワーク入門 NEW 2026-06-22 12:17:24
- iptables/nftablesとは|テーブル・チェーン・ルール例・永続化をLinux視点で解説 NEW 2026-06-22 12:17:24
- HAProxy とは frontend/backend と設定例 | ネットワーク入門 NEW 2026-06-22 12:17:24
- 証明書と認証局(CA)とは|X.509・信頼チェーン・DV/OV/EV・失効(CRL/OCSP)を解説 NEW 2026-06-22 12:17:24
コメントを削除してもよろしいでしょうか?