次世代ファイアウォール

次世代ファイアウォール（NGFW ）は、第3世代ファイアウォール技術の一つであり、従来のファイアウォールと、インライン・ディープ・パケット・インスペクション（DPI）を用いたアプリケーション・ファイアウォールや侵入防止システム（IPS）などのネットワークデバイスのフィルタリング機能を組み合わせたものです。また、TLS暗号化トラフィック検査、ウェブサイトフィルタリング、QoS/帯域幅管理、ウイルス対策検査、サードパーティのID管理統合（LDAP、RADIUS、Active Directoryなど）^{[ 1 ] 、SSL復号化[ 2 ]}などの技術も採用されています。

NGFWという用語が初めて言及されたのは、2004年にガートナーが発表した文書です。ケネス・タムは、 IDCが競合他社の名称を採用したくなかったため、統合脅威管理（UTM）という用語を作ったのではないかと推測しています。 ^{[ 3 ]}

NGFWには、パケットフィルタリング、^{[ 4 ]}、ネットワークアドレス変換（NAT）、ポートアドレス変換（NAT）、ステートフルインスペクション、仮想プライベートネットワーク（VPN）サポートなど、従来のファイアウォールの典型的な機能が含まれています。次世代ファイアウォールの目標は、OSI参照モデルのより多くのレイヤーを組み込み、パケットの内容に依存するネットワークトラフィックのフィルタリングを向上させることです。最も大きな違いは、NGFWには侵入防止システム（IPS）とアプリケーション制御が含まれていることです。^{[ 5 ]}

次世代ファイアウォールは、第1世代および第2世代ファイアウォールで実行されるステートフルインスペクションと比較して、より詳細な検査を実行します。^{[ 6 ]} NGFWは、パケットペイロードをチェックし、シグネチャを照合して、悪用可能な攻撃やマルウェアなどの有害な活動を検出する、より徹底した検査スタイルを使用します。^{[ 7 ]}

このセクションには出典が示されていません。信頼できる出典を追加して、このセクションの改善にご協力ください。出典のない資料は異議を唱えられ、削除される場合があります。出典を探す: 「次世代ファイアウォール」  – ニュース·新聞·書籍·学者· JSTOR      ( 2019年8月) (このメッセージを削除する方法とタイミングについては、こちらをご覧ください)

ウェブベースのマルウェア攻撃、標的型攻撃、アプリケーション層攻撃といった現代の脅威は、脅威の状況に重大な悪影響を及ぼしています。実際、攻撃の4分の1 ^{[ 8 ]}は、ネットワークコンポーネントやサービスの脆弱性ではなく、公開アプリケーションの脆弱性を悪用しています。

シンプルなパケットフィルタリング機能を備えたステートフルファイアウォールは、ほとんどのアプリケーションがポートとプロトコルの要件を満たしていたため、不要なアプリケーションを効率的にブロックできました。管理者は、関連するポートとプロトコルをブロックすることで、安全でないアプリケーションへのユーザーによるアクセスを迅速に防止できました。しかし、ポート80を使用するWebアプリケーションをポートを閉鎖してブロックすると、 HTTPプロトコル全体に問題が生じることになります。

ポート、プロトコル、IPアドレスに基づく保護は、もはや信頼性と実行可能性に欠けています。そのため、IDベースのセキュリティアプローチが開発され、組織はIPアドレスにセキュリティを紐付ける従来のセキュリティアプライアンスよりも一歩先を行くことができます。

NGFWは、ファイアウォールによるより詳細な検査機能に加え、管理者が個々のアプリケーションをより深く把握し、制御できるようにします。管理者は、ネットワーク内のウェブサイトやアプリケーションの使用を制御するための、非常にきめ細かな「許可/拒否」ルールを作成できます。

• ウイルス対策ソフトウェアの比較
• インターネットセキュリティ
• ネットワークセキュリティ