ITパスポート | テクノロジ系・セキュリティ

ファイアウォールとは?

ネットワークの"関所"。通ってよいパケットだけを通し、不正な通信を遮断する。

🎬 こんなシーンを想像
会社のオフィス。外部インターネットから大量のアクセスが届いている。その中には正規のWeb利用もあれば、不正侵入を狙うパケットもある。
ネットワーク担当のあなた、どうやって"悪い通信だけ"を止めればいい?
空港の手荷物検査みたいに、入口で一件一件チェックして怪しいものだけブロックする仕組みが必要だ。
…それがファイアウォールの役割。
🔥 ファイアウォールの配置イメージ インターネット 正常パケット ✓ 不正パケット ✕ ファイア ウォール ルール照合 通過 or 遮断 遮断 社内ネットワーク PCやサーバ群 安全な空間

ファイアウォールはインターネットと社内ネットワークの「境界」に置き、ルールに基づいて通信を許可・遮断する。

📋 フィルタリング方式の種類
① パケットフィルタリング
送信元IPアドレス・宛先ポート番号などを見てルール照合。高速だが「中身」は見ない。最も基本的な方式。
▼ より高機能
② ステートフルインスペクション
通信の「状態(セッション)」を追跡する。「このパケットは確かに送り出した通信の応答か」まで確認するため、なりすましに強い。
▼ さらに高機能
③ アプリケーションゲートウェイ(WAF)
HTTP/HTTPSの「中身(アプリの内容)」まで検査。SQLインジェクションやXSSなどWebアプリ攻撃を検知・遮断できる。
⚠️ ひっかけ注意ポイント
プロキシサーバと混同しやすい
プロキシは「代理アクセス・キャッシュ・フィルタリング補助」が主目的。ファイアウォールは「ネットワーク境界での通信制御(許可/遮断)」が主目的。役割が違う。
DMZとの関係を混同しやすい
DMZ(非武装地帯)はWebサーバなどを置く"中間ゾーン"。ファイアウォールを2枚使ってDMZを作る構成が多い。ファイアウォール=DMZではない。
「ファイアウォールがあればOK」は間違い
ファイアウォールは境界での通信制御。内部からの攻撃・マルウェア感染・暗号化通信内の攻撃は防げない。多層防御が必要。
IDS/IPSとの違い
IDS(侵入検知)は「異常を検知して通知」、IPS(侵入防止)は「異常を検知してブロック」。ファイアウォールは「ルールで許可/拒否」。検知・遮断の仕組みが異なる。
🧠 覚え方(無理やりゴロ)
「火の壁」が悪いパケットを燃やす!
Fire(炎)+ Wall(壁)= ファイア・ウォール

フィルタ」と「状態追跡」と「中身まで検査」の3段階。
パケット → ステートフル → WAF(アプリ)の順に高機能になる
ITパスポート 詳細解説 / HTML+SVG(文字はすべてテキスト)