firewall

ファイアーウォール（防火壁、Firewall）とは、ある特定のコンピュータネットワークとその外部との通信を制御し、内部のコンピュータネットワークの安全を維持することを目的としたソフトウェア（あるいはそのソフトウェアを搭載したハードウェア）の技術概念である。

外部から内部のコンピュータネットワークへ侵入しようとするクラッキング行為を火事にたとえ、それを食い止めるものとして防火壁という表現を用いている。

ファイアウォールは、その動作するプロトコル階層によって細かく分類される。

パケットフィルタ型

OSI参照モデルにおけるネットワーク層(レイヤ3)やトランスポート層(レイヤ4)に相当するIPからTCP、UDP層の条件で、通信の許可/不許可を判断するもの。狭義でのファイアウォールとは、このタイプのものを指す。このタイプはさらに、スタティックなものとダイナミックなものとに分類できる。

基本的にはレイヤ3で通信制御を判断するが、フィルタの種類によってはレイヤ4のヘッダも参照する。すなわち、TCP/UDPのセッション単位で管理する訳ではない。ただし、ステートフルパケットインスペクション型ではTCP/UDPセッションの一部も記憶して判断動作する。

スタティックなパケットフィルタ

IP通信において、宛先や送信元のIPアドレス、ポート番号などを監視し、あらかじめ設定した条件によって、その通信を受け入れる(ACCEPT)、廃棄する(DROP)、拒否する(REJECT)などの動作で通信を制御する。具体的には、外部から内部へ向かうパケットを選別して特定のサービスのみを通す、また内部から外部へ向かうパケットも、セキュリティホールになりかねないため、代表的なサービス以外は極力遮断する、といった設定が行われることが多い。仕組みが単純なため高速に動作するが、設定に手間がかかる、防ぎきれない攻撃があるなどの問題点がある。

ダイナミックなパケットフィルタ

宛先および送信元のIPアドレスやポート番号などの接続・遮断条件を、IPパケットの内容に応じて動的に変化させて通信制御を行う方式。

スタティックなパケットフィルタで内部と外部で双方向の通信を行う場合は、内部から外部へ向かうパケットと、外部から内部へ向かうパケットの双方を明示的に許可しなければならない。一方、ダイナミックなパケットフィルタでは、内部から外部の通信を許可するだけで、その通信への応答に関してのみ、外部からの通信を受け入れる、といった動作を自動的に行う。

ステートフルパケットインスペクション

ステートフルインスペクション(Stateful Packet Inspection、SPI)ともよばれる、ダイナミックなパケットフィルタリングの一種。

レイヤ3のIPパケットが、どのレイヤ4（TCP/UDP）セッションに属するものであるか判断して、正当な手順のTCP/UDPセッションによるものとは判断できないような不正なパケットを拒否する。そのため、TCP/UDPセッションの一部情報を記憶して判断動作する。具体例として、ヘッダのSYNやACKフラグのハンドシェイクの状態などを記憶し、不正に送られてきたSYN/ACKパケットを廃棄する。

サーキットレベルゲートウェイ型

レイヤ3・IPパケットではなく、TCP/IPなどのレイヤ4・トランスポート層のレベルで通信を代替し、制御する。内部のネットワークから外部のネットワークへ接続する場合は、サーキットレベルゲートウェイに対してTCPのコネクションを張ったり、UDPのデータグラムを投げることになる。サーキットレベルゲートウェイは、自らに向けられていたIPアドレスとポート番号を本来のものへと振り替え、自らが外部と通信した結果を返すという動作をする。代表的なソフトウェア実装としてはSOCKSがある。また、ハードウェア実装としてレイヤ4スイッチにもこの機能を持たせる事ができる。

サーキットレベルゲートウェイは、あらかじめ多数のポートを開けたりNATを用意しなくても、プライベートIPアドレスしか持たない内部のネットワークからでも、外部のネットワークへ接続できるという点がメリットである。

アプリケーションゲートウェイ型

パケットではなく、レイヤ7のHTTP や FTP といった、アプリケーションプロトコルのレベルで外部との通信を代替し、制御するもの。一般的にはプロキシサーバと呼ばれている。アプリケーションゲートウェイ型ファイアウォールの内部のネットワークでは、アプリケーションはアプリケーションゲートウェイ（プロキシサーバ）と通信を行うだけであり、外部との通信はすべてプロキシサーバが仲介する。アプリケーションプロキシが用意されていないサービスについては、サーキットプロキシで対応する事が可能である。

このため、アプリケーションゲートウェイで許されているプロトコルでトンネリングを行うソフトウェア、例えばSoftEtherやhttptunnelといった、運用方法によってはセキュリティホールになりうる実装の利用を、かえって促進してしまうという事例も近年目立っている。強すぎるセキュリティポリシーが迂回路を招いてしまっているとも言える。

プロキシは単に中継するだけの物が多いが、レイヤ7ファイアウォールはアプリケーションの通信の中身も検査する事ができる（例：アクセスURLチェック、ウイルスチェック、情報漏洩検出）。そのため、検査の仕方によってはレイヤ7ファイアウォールは相当な負荷が掛かり、ファイアウォールの処理上も、通信上もボトルネックとなることもある。また、未成年に好ましくないコンテンツのみを、末端のユーザにはプロキシサーバの存在を意識させない状態で、自動的にフィルタリングしてしまうといった実装も可能である。

なお、アプリケーションの通信の中身も検査するため、電気通信事業者が自らが仲介する通信の内容に立ち入ってはならない（通信の秘密）と言う原理原則に反する検閲だと批判する向きもある。通信事業に携わる技術者や学者の間ではこういった種類のファイアウォールを設置するという発想を強く批判する向きもある^[誰?]。

なお実際に、ISPのぷららがファイル共有ソフトウェアWinnyの通信を全て遮断する事を計画・発表し、それに対して通信の秘密を侵害する可能性があるとして総務省から行政指導を受け、Winny遮断は同ISPユーザの利用者の選択に任せるとした事例もあった。

具体的な実装例

上述のパケットフィルタリング型や、サーキットレベルゲートウェイ型ではそれぞれ、レイヤ3スイッチ（ルーター）やレイヤ4スイッチ等のハードウェア機器の一部機能として組み込まれている事も多い。この場合、ある程度簡易な条件でしかパケット検査をできないため、簡易ファイアウォール、広義のファイアウォールと呼ぶこともある。レイヤー7ファイアウォール(L7FW)は通信の内容まで検査するため、L7FWが本来の（狭義の）ファイアウォールであるとすることもある。

ソフトウェアによる実装としては、UNIXでは伝統的にipfwが使われてきた。カーネルレベルで動作するため、オーバーヘッドが小さく高速に動作する。Mac OS Xでもipfwが実装されている。Linuxカーネル には iptables、ipchains等が実装されている。

WindowsではZoneAlarm、ノートン インターネットセキュリティ、ウイルスバスター、NetOp Desktop Firewall等のフリーウェアないし商用アプリケーションが普及しているが、これらはファイアウォールというよりは、IDSに近い動作をしている。しかし、一般的にファイアウォールという語が防護のイメージを喚起しやすいためか、用語は混乱して使われている。一般的には、パーソナルファイアウォールと呼ばれる。

また、Windows XPでは、OSの機能として簡易的なファイアウォールが標準で搭載されている（Windows XP SP2ではユーザーが初期設定を行わずに利用できるように改良された）。純粋にスタティックなパケットフィルタ型ファイアウォールの実装としては、NEGiESなどがある。

主なファイアウォール製品

ソフトウェア型

• Astaro Security Linux
• BinarySEC web firewall
• Check Point VPN-1、FireWall-1
• Clavister
• eConceal Firewall (eConceal)
• Firestarter
• ipfw
• ipfwadm
• ipchains
• iptables
• IPFilter (ipf)
• MCS Firewall
• Microsoft Internet Security and Acceleration Server
• PF
• phion netfence Connectivity Gateways
• PORTUS Application Protection System
• Symantec Client Security
• Trustix Enterprise Firewall
• USP Secure Entry Server
• visonys AirLock
• WinGate NAT Firewall

ハードウェア型

• ActionTEC (a DSL Modem packaged by Qwest with new DSL customer orders)
• FAST360
• beat
• Blue Reef Sonar
• Celestix MSA SeriesCelestix Inc.
• Cisco PIX and Cisco ASA
• Clavister
• CyberGuard
• DataPower
• D-Link
• Erip switch
• FortiGate by Fortinet
• Global Technology Associates, Inc.
• IPCOM EX Series by Fujitsu
• Juniper NetScreen
• Lightning MultiCom VPN Firewall
• Lucent VPN Firewall
• NetASQ
• NetStealth
• Nortel Stand-alone and Switched Firewall
• PORTUS-APS Appliance
• PresiNET VPN/Network Visibility
• RouteFinder - MultiTech Systems
• Sarvega
• Sidewinder and Sidewinder G2
• Securepoint
• SofaWare Technologies
• SonicWALL
• Symantec Gateway Security
• vantronix Trusted Proactive Security Appliances based on OpenBSD
• VSR - バリオセキュア
• WatchGuard Firebox
• ステルスワン Fシリーズ

その他フリーウェアなど

• BrazilFW Firewall and Router (GPL) - Formerly Coyote Linux - This runs from a floppy disk or hard disk, and is configured through a Windows or Linux program.
• Devil-Linux (GPL)
• eBox Platform (GPL)
• Endian Firewall(GPL)
• IPCop (GPL)
• m0n0wall (BSD-style license)
• pfSense (BSD-style license) (m0n0wall fork)
• SmoothWall Express (GPL)

関連項目

ウィキメディア・コモンズには、ファイアーウォールに関連するカテゴリがあります。

• DMZ
• TCP/IP
• ハッカー
• クラッカー (コンピュータセキュリティ)
• エンドツーエンド接続性
• 日本における検閲
• コモンクライテリア

表・話・編・歴 セキュリティソフト（カテゴリ） インターネットセキュリティスイート ALYac Internet Security avast! Internet Security AVG Internet Security CA インターネットセキュリティスイート COMODO Internet Security ESET Smart Security F-Secure インターネットセキュリティ G DATA アンチウイルスキット Kaspersky Internet Security Kingsoft Internet Security ウイルスセキュリティ ウイルスバスター ノートン インターネットセキュリティ マカフィー インターネットセキュリティ アンチウイルスソフトウェア AhnLab V3 Lite avast! AVG Anti-Virus Avira Antivirus BitDefender CA アンチウイルス Clam AntiVirus Dr.Web Emsisoft Anti-Malware eTrust アンチウイルス F-Secure インターネットセキュリティ G DATA アンチウイルスキット Kaspersky Anti-Virus Microsoft Security Essentials NOD32アンチウイルス Panda Titanium Antivirus ノートン アンチウイルス マカフィー アンチウイルス Emsisoft Anti-Malware アンチスパイウェア Ad-Aware Anniversary Edition AhnLab スパイゼロ CA アンチスパイウェア Microsoft Security Essentials SGアンチスパイ Spybot - Search & Destroy SpywareBlaster Windows Defender カウンタースパイ スパイスウィーパー ゼロスパイウェア パーソナルファイヤーウォール BlackICE Jetico Personal Firewall Kaspersky Anti-Hacker Look'n'Stop NEGiES Outpost Firewall Privatefirewall Sunbelt Personal Firewall ZoneAlarm ノートン パーソナルファイアーウォール マカフィー パーソナルファイアウォールプラス Emsisoft Online Armor その他 Microsoft Forefront ノートン 360

表・話・編・歴 マルウェア 伝染性マルウェア コンピュータウイルス コンピューターウィルスの一覧 ワーム ワームの一覧（英語版） コンピュータウイルスとワームの年表 潜伏手法 トロイの木馬 ルートキット バックドア ゾンビコンピュータ 中間者攻撃 マン・イン・ザ・ブラウザ 収益型マルウェア プライバシー侵害ソフトウェア（英語版） アドウェア スパイウェア ボットネット キーロガー Web threat（英語版） 詐欺ダイヤラー マルボット スケアウェア 偽装セキュリティツール ランサムウェア OS別マルウェア Linuxにおけるマルウェア 携帯電話ウイルス マクロウイルス マルウェアからの保護 アンチキーロガー（英語版） アンチウイルスソフトウェア ブラウザ・セキュリティ（英語版） インターネット・セキュリティ（英語版） モバイル・セキュリティ（英語版） ネットワーク・セキュリティ 防御コンピューティング（英語版） ファイアーウォール 侵入検知システム データ損失防止ソフトウェア（英語版） マルウェアへの対策 コンピュータサーベイランス（英語版） ボットロースト作戦（英語版） ハニーポット スパイウェア対策連合（英語版）

Look up firewall in Wiktionary, the free dictionary.

Firewall may refer to:

• Firewall (construction), a barrier inside a building or vehicle, designed to limit the spread of fire, heat and structural collapse
  • Firewall (engine), the part of a vehicle that separates the engine compartment from the rest of the vehicle
• Firewall (computing), a technological barrier designed to prevent unauthorized or unwanted communications between computer networks or hosts
  • Personal firewall, a very popular form of firewall designed to protect personal computers
• Firewall (physics), a hypothetical phenomenon where a freely falling observer spontaneously burns up at the horizon of a black hole
• Firewall, the alias of Lange (musician) (born 1974)
• Firewall (film), a 2006 thriller film written by Joe Forte, starring Harrison Ford
• Firewall (Henning Mankell novel), a 1998 novel by Henning Mankell, featuring Kurt Wallander
• Firewall (Andy McNab novel), a Nick Stone adventure
• Firewall (G.I. Joe), a fictional character in the G.I. Joe universe
• "Firewall", a song by Steve Vai off his Real Illusions: Reflections album
• Chinese wall, a zone of non-communication between distinct sections of a business, in order to prevent conflicts of interest
• Great Firewall, China's internet censorship firewall
• The Alberta Agenda, also known as the Alberta Firewall, a political proposal for the Canadian province
• "Firewall", an episode of the computer animated series ReBoot

See also

• Anonymous web browsing, browsing the World Wide Web while hiding the user's IP address and any other personally identifiable information from the websites that one is visiting
• Wall of Fire (disambiguation)

This disambiguation page lists articles associated with the title Firewall. If an internal link led you here, you may wish to change the link to point directly to the intended article.