ゲートウェイ型ファイアウォールは動作の仕組みに応じて、アプリケーションゲートウェイ型とサーキットレベルゲートウェイ型に種類分けすることができます。アプリケーションゲートウェイ型は、パケットのデータ部分を検査してファイアウォールを通過させるかどうかを決めます。HTTPやSMTPなどのプロトコルごとに許可を決めることができるようになっており、パケットフィルタリング型ファイアウォールより細かく動作を制御することができ、なりすまし型の不正アクセスに対して効果を発揮できます。その反面、ファイアウォールとして利用するマシンは負荷がかかりやすく、内部ネットワークから見ると、外部との通信に時間がかかりやすいといった欠点もあります。
サーキットレベルゲートウェイ型は、パケットフィルタリング型の仕組みにトランスポート層レベルの通信の監視と制御の機能を加えた方式です。パケットフィルタリング型のみだと送信元などを偽装した通信を検出することができませんが、ポートごとに通信を許可するかどうかを決められるこの方式を採用すれば防御が可能になります。アプリケーション単位やシステム単位で通信を制御したい場合は、この方式が便利です。ファイアウォールを導入している組織のほとんどは、複数の方式を組み合わせて内部のネットワークを外部の攻撃から防御しています。
組織のネットワークの状況やコストを考慮して、最適な方式を選択しましょう。
コメントする