Next-generation firewall

第3世代のファイアウォール技術の一部

A next-generation firewall (NGFW) is a part of the third generation of firewall technology, combining a conventional firewall with other network device filtering functions, such as an application firewall using in-line deep packet inspection (DPI) and an intrusion prevention system (IPS). Other techniques might also be employed, such as TLS-encrypted traffic inspection, website filtering, QoS/bandwidth management, antivirus inspection, third-party identity management integration (e.g. LDAP, RADIUS, Active Directory),^[1] and SSL decryption.^[2]

History

One of the first mentions of the NGFW term was in a 2004 document by Gartner. Kenneth Tam speculated that the term Unified Threat Management (UTM) was coined by IDC because they did not want to adopt the name of their competitor.^[3]

Next-generation firewall versus traditional firewall

NGFWs include the typical functions of traditional firewalls such as packet filtering,^[4] network- and port-address translation (NAT), stateful inspection, and virtual private network (VPN) support. The goal of next-generation firewalls is to include more layers of the OSI model, improving filtering of network traffic that is dependent on the packet contents. The most significant differences are that NGFWs include intrusion prevention systems (IPS) and application control.^[5]

Next-generation firewalls perform deeper inspection compared to stateful inspection performed by the first- and second-generation firewalls.^[6] NGFWs use a more thorough inspection style, checking packet payloads and matching signatures for harmful activities such as exploitable attacks and malware.^[7]

Evolution of next-generation firewalls

Modern threats like web-based malware attacks, targeted attacks, application-layer attacks, and more have had a significantly negative effect on the threat landscape. In fact, one in four^[8] attacks exploit vulnerabilities in public-facing applications, as opposed to weaknesses in networking components and services.

シンプルなパケットフィルタリング機能を備えたステートフルファイアウォールは、ほとんどのアプリケーションがポートとプロトコルの要件を満たしていたため、不要なアプリケーションを効率的にブロックできました。管理者は、関連するポートとプロトコルをブロックすることで、安全でないアプリケーションへのユーザーによるアクセスを迅速に防止できました。しかし、ポート80を使用するWebアプリケーションをポートを閉鎖してブロックすると、 HTTPプロトコル全体に問題が生じることになります。

ポート、プロトコル、IPアドレスに基づく保護は、もはや信頼性と実行可能性に欠けています。そのため、IDベースのセキュリティアプローチが開発され、組織はIPアドレスにセキュリティを紐付ける従来のセキュリティアプライアンスよりも一歩先を行くことができます。

NGFWは、ファイアウォールによるより詳細な検査機能に加え、管理者が個々のアプリケーションをより深く把握し、制御できるようにします。管理者は、ネットワーク内のウェブサイトやアプリケーションの使用を制御するための、非常にきめ細かな「許可/拒否」ルールを作成できます。

参照

参考文献

^ エリック・ガイヤー（2011年9月6日）「次世代ファイアウォール入門」
^ Sayar, Hazar. 「次世代ファイアウォールの進化と出現」. Network Devices .
^ FortinetによるUTMセキュリティ：FortiOSの習得. Sl: Syngress. 2013. p. 19. ISBN 978-1-59749-977-4。
^ ロッシ、ベン（2012年8月7日）「次世代セキュリティ」
^ Pescatore, John; Young, Greg. 「次世代ファイアウォールの定義」Gartner . 2009年10月12日閲覧。
^ Sweeney, Patrick (2012年10月17日). 「次世代ファイアウォール：パフォーマンスを犠牲にしないセキュリティ」
^ Ohlhorst, Frank J. (2013年3月1日). 「次世代ファイアウォール101」
^ 「IBM X-Force 2025 脅威インテリジェンス・インデックス」IBM . 2025年11月5日閲覧。

[1] エリック・ガイヤー（2011年9月6日）「次世代ファイアウォール入門」

[2] Sayar, Hazar. 「次世代ファイアウォールの進化と出現」. Network Devices .

[3] FortinetによるUTMセキュリティ：FortiOSの習得. Sl: Syngress. 2013. p. 19. ISBN 978-1-59749-977-4。

[4] ロッシ、ベン（2012年8月7日）「次世代セキュリティ」

[Gartner-5] Pescatore, John; Young, Greg. 「次世代ファイアウォールの定義」Gartner . 2009年10月12日閲覧。

[6] Sweeney, Patrick (2012年10月17日). 「次世代ファイアウォール：パフォーマンスを犠牲にしないセキュリティ」

[7] Ohlhorst, Frank J. (2013年3月1日). 「次世代ファイアウォール101」

[8] 「IBM X-Force 2025 脅威インテリジェンス・インデックス」IBM . 2025年11月5日閲覧。