【じせだいふぁいあうぉーる】

次世代ファイアウォール(NGFW) とは?

最終更新:
💡 ポート番号だけじゃない、中身まで見抜くファイアウォール
📌 このページのポイント
従来型FW vs 次世代FW(NGFW) 従来型ファイアウォール IPアドレスで判断 ポート番号で判断 → 中身は見えない 次世代FW(NGFW) アプリケーション識別 通信の中身まで検査 → YouTube / Slack を見分ける NGFWの統合機能 IPS 侵入防止 アンチマルウェア ウイルス検知 URLフィルタ 危険サイト遮断 SSL復号 暗号化通信も検査 Palo Alto / Fortinet / Cisco が主要ベンダー → クラウド向け仮想NGFWやSASEも登場
次世代ファイアウォール(NGFW)のイメージ
ひよこ ひよこ
普通のファイアウォールと何が違うのかな?
ペンギン先生 ペンギン先生
従来のファイアウォールIPアドレスポート番号だけで通信を判断するけど、NGFWは通信の中身を見て『これはYouTubeだ』『これはSlackだ』とアプリケーション単位で識別できるんだ。ポート443を使っていても中身を見分けられるよ
ひよこ ひよこ
アプリを識別すると何が嬉しいの?
ペンギン先生 ペンギン先生
たとえば『SNSは閲覧だけOK、ファイルアップロードは禁止』みたいな細かいポリシーが作れるよ。ポート番号ベースだと『443は全部許可か全部拒否か』しかできなかったからね
ひよこ ひよこ
IPSとかアンチマルウェアも入ってるって、UTMとは違うの?
ペンギン先生 ペンギン先生
UTMは中小企業向けのオールインワン、NGFWはエンタープライズ向けの高性能版というイメージだね。最近は境界が曖昧になってきているけど、NGFWの方がスループットが高くて大規模ネットワークに向いているよ
ひよこ ひよこ
HTTPSの暗号化された通信も検査できるの?
ペンギン先生 ペンギン先生
SSL/TLSインスペクション機能で、暗号化を一度解いて中身を検査し、再暗号化して送る仕組みがあるよ。ただしプライバシーの問題もあるから、医療情報や金融取引は除外するなど運用ポリシーの設計が重要だね
ひよこ ひよこ
クラウド時代でもNGFWは必要なの?
ペンギン先生 ペンギン先生
むしろクラウド向けの仮想NGFWの需要が増えているよ。AWS/Azure/GCPにも仮想アプライアンスとして導入できるし、SASEのようにクラウドでNGFW機能を提供するサービスも出てきているね
ペンギン
まとめ:ざっくりこれだけ覚えればOK!
「次世代ファイアウォール」って出てきたら「アプリの中身まで検査できる高機能ファイアウォール」と思えればだいたいOK!
📖 おまけ:英語の意味
「Next-Generation Firewall」 = 次世代ファイアウォール
💬 Gartnerが2009年頃に定義した用語で、従来型ファイアウォールの進化版という位置づけだよ
← 用語集にもどる