Network-based Firewall vs Host-based Firewall-Discussion and Comparison
“Firewall” は、企業の IT 資産とネットワークを守るために専門家が使用する最も人気のあるコンピューターおよびネットワーク セキュリティ デバイスの 1 つです。
ちょうど、建物の耐火ドアが起こりうる火災から部屋を守り、建物内の炎の広がりを止めるように、セキュリティ ファイアウォールは悪意のあるパケットやトラフィックが侵入して、保護されているコンピューター資産に害を与えることを防ぐ同様の機能を備えています。
この Web サイトでは、ハードウェア ネットワーク ベース ファイアウォールの典型例である Cisco ASA ファイアウォールを中心に何百もの記事を書いてきました。
ただし、ホスト ベース ファイアウォールなど、他のタイプのファイアウォールがありますが、この記事で説明し比較します。
ネットワーク ベースのファイアウォールとは
その名が示すように、このタイプのファイアウォールは主にコンピュータ ネットワーク全体を攻撃から保護し、ネットワーク トラフィックを制御して許可されたパケットのみがサーバーや IT 資産に到達できるようにするために使用されます。
上の写真は、いくつかの Cisco ASA ネットワークベースファイアウォールを示したものです。
これらのポートは、通常、電気 RJ45 コネクタの 1 Gbps ポートですが、より長い距離とより大きな帯域幅のために光ファイバー ケーブルに接続する光ポート (1 Gbps、10 Gbps 速度ポートなど) も見つけることができます。
最も単純な形では、異なるネットワークセグメント間で制御されたアクセスを提供するために、ファイアウォールの複数の物理ポートを異なるネットワークスイッチに接続することができます。
ネットワークベースのファイアウォールの最も一般的な使用例は、下図に示すように、企業の LAN をインターネットから保護するためのインターネット境界デバイスとして使用する場合です:
上のネットワークは企業ネットワークで使用する、ネットワークファイアウォールの最も一般的な使用例の 1 つです。
このように、ファイアウォールの1つのポートは、企業ネットワークのすべてのLANクライアントデバイスを収容するネットワークSwitch-1に接続されています。
ファイアウォールの別の物理ポートは、Webサーバに接続する別のネットワークSwitch-2に接続されています。 これは、Web Serverがハッカーによって侵害された場合、保護された内部セキュアネットワークにアクセスできなくなるため、セキュリティ上良い方法です。
インターネットから特定のTCPポート(HTTP用のポート443またはHTTP用のポート80)でWeb Serverへのトラフィックを許可するように、ファイアウォールを構成する必要があります。
さらに、ファイアウォールは、内部 LAN ホストにインターネットアクセスを提供するために、エンタープライズネットワークからインターネットへの送信トラフィックも許可します。
上記の使用例にあるように、ネットワークファイアウォールは、(OSI レイヤー 3 とレイヤー 4 アクセスルールを使用して)ネットワーク間でネットワークパケットの許可または拒否を行う役割を担います。) これは、ファイアウォールの最も基本的な機能です。
最新世代のファイアウォール (「次世代ファイアウォール」と呼ばれます) は、アプリケーション層でトラフィックを検査し、アプリケーション レベルでの悪意のあるトラフィックや攻撃 (ウイルス、侵入の試み、SQL 注入攻撃など、) を識別することも可能です。
ホストベースファイアウォールとは
その名が示すように、ホストベースファイアウォールは、ホストコンピュータやサーバーを攻撃から守るためにインストールされるソフトウェアアプリケーションです。
上に描いたネットワークは実際のシーンでは推奨しませんが、ホストベースファイアウォールがどう使用されるかは説明しています。
最良の選択肢は、ネットワークファイアウォールとホストファイアウォールの両方を組み合わせ、階層化されたアプローチを使用してより優れた保護を実現することです。
ホストベースファイアウォールは、ホスト上にソフトウェアとして直接インストールされ、特定のホストとの間で受信および送信するトラフィックを制御します。
ホストファイアウォールの典型的な例としては、すべての Windows オペレーティング システムにデフォルトで搭載されている Windows ファイアウォールが挙げられます。 ここで、ホストベースのファイアウォールを搭載したノート PC を外部の WiFi ネットワークに接続しても、ファイアウォールはコンピュータを保護します。
さらに、一部のホストベースのファイアウォールは、アプリケーション攻撃に対する保護も提供します。 この種の保護は実際のホストにインストールされるため、ホスト上で実行されているアプリケーションやプロセスを可視化でき、したがって、ファイアウォールはシステムに感染しようとするマルウェアから保護できます。
こうしたファイアウォールの弱点は、ホストへの管理者レベルのアクセスを獲得した攻撃者が、ホストをオフにすることが可能なことです。
ネットワークベースとホストベースのファイアウォールの比較
特徴 | ネットワークファイアウォール | ホストファイアウォール | |
配置 | ネットワーク内部(どちらかと言うと、ネットワーク内の | 各ホスト | |
ハードウェア/ソフトウェア | ハードウェアデバイス | ソフトウェアアプリケーション | |
パフォーマンス | 高いパフォーマンス(帯域幅, 同時接続数など) | 低性能(ソフトウェアベースのため) | |
保護レベル | ネットワーク保護+アプリケーションレベルの保護(次世代ファイアウォール使用時) | ネットワーク保護+アプリケーション保護(一部モデル) | |
使用方法- | ネットワーク保護とアプリケーションの保護。事例 | 主に企業ネットワーク | ホームネットワークのパーソナルコンピューターと、ホスト上の追加保護として企業ネットワークで使用されます。 |
ネットワーク・セグメンテーション | VLAN/レイヤ3レベルでの優れたセグメンテーションと制御が可能ですが、同じVLAN内のホスト間のトラフィックは制限できません | 同じVLAN内にあるホストでもホストレベルで優れたマイクロセグメンテーションが可能です。 | |
Mobility | 一度ネットワーク内にファイアウォールを実装すると、削除や変更が非常に困難である。 | ||
管理 | 中央のファイアウォール管理サーバーから、またはアプライアンス自体から直接管理できる | ネットワークに数百のホストが存在する場合、管理が難しい。 | |
バイパスしやすさ | ネットワークファイアウォールは攻撃者にバイパスされない | バイパスしやすい。 攻撃者がエクスプロイトによってホストを侵害した場合、ファイアウォールはハッカーによってオフにすることができます。 |