ファイアウォールには複数の種類がありますが、その中で最も歴史が古く基本的な方式がパケットフィルタリング型ファイアウォールです。
パケットフィルタリング型ファイアウォールはIPヘッダーの情報を検査してパケットの通過を制御するシンプルかつ高速なセキュリティ機能を提供しており、現在もルーターや基本的なファイアウォールに広く実装されています。
本記事ではパケットフィルタリング型ファイアウォールの特徴・動作原理・メリット・デメリットについて詳しく解説していきます。
パケットフィルタリング型ファイアウォールとは?基本的な結論
それではまず、パケットフィルタリング型ファイアウォールの定義と基本的な特徴について解説していきます。
パケットフィルタリング型ファイアウォールとは、ネットワーク層およびトランスポート層(OSI参照モデルの第3・4層)でIPヘッダーの情報を検査し、定義されたルール(ACL)に従ってパケットの通過を制御するファイアウォールの一種です。
「第1世代ファイアウォール」とも呼ばれており、1980年代後半から実用化された最も基礎的なファイアウォール技術です。
| ファイアウォールの世代 | 種類 | 検査レベル |
|---|---|---|
| 第1世代 | パケットフィルタリング型 | ネットワーク層・トランスポート層 |
| 第2世代 | ステートフルインスペクション型 | コネクション状態を追跡 |
| 第3世代 | アプリケーション層ゲートウェイ型 | アプリケーション層(第7層) |
| 次世代 | 次世代ファイアウォール(NGFW) | DPI・アプリ識別・IPS統合 |
動作原理:ルールの上から順のマッチング
パケットフィルタリング型ファイアウォールの動作は、定義されたルールリストを上から順番にパケットのヘッダー情報とマッチングするシンプルな仕組みです。
最初にマッチしたルールのアクション(PERMIT:許可またはDENY:拒否)が即座に適用され、以降のルールは検査されません。
ルールの順序がフィルタリングの結果を左右するため、より具体的・制限的なルールを先に記述することがACL設計の基本です。
ステートレス動作の特徴
パケットフィルタリング型ファイアウォールは基本的にステートレス(状態を持たない)動作をします。
各パケットを独立して評価するため、TCPのセッション状態や前のパケットとの関係性は考慮されません。
この特性から、戻りのパケット(クライアントへのレスポンス)を許可するためには、明示的なルールを設定する必要があります。
パケットフィルタリング型FWのルール設定
続いては、パケットフィルタリング型ファイアウォールのルール設定の考え方を確認していきます。
基本的なルール設計の考え方
パケットフィルタリングのルール設計では「デフォルト拒否(Default Deny)」の原則が推奨されます。
明示的に許可したトラフィックのみを通過させ、それ以外はすべて拒否するという考え方で、「許可リスト(ホワイトリスト)」方式とも呼ばれています。
逆の「デフォルト許可(Default Allow)」は明示的に拒否したもの以外を通過させる方式で、設定の抜け漏れによるリスクが高くなるため一般的には推奨されません。
典型的なACLルールの例
典型的なACLルールの概念例
PERMIT TCP 任意 → 10.0.0.1 ポート80(HTTP許可)
PERMIT TCP 任意 → 10.0.0.1 ポート443(HTTPS許可)
PERMIT TCP 10.0.0.1 ポート80 → 任意(戻りパケット許可)
このようにまず必要なトラフィックを許可し、最後に「DENY ALL」ですべてを拒否するという構成が基本です。
パケットフィルタリング型FWのメリットとデメリット
続いては、パケットフィルタリング型ファイアウォールのメリットとデメリットを確認していきます。
メリット
パケットフィルタリング型ファイアウォールの主なメリットは高速な処理・低コスト・シンプルな実装の3点です。
ヘッダーの一部情報のみを検査するためオーバーヘッドが少なく、大量のトラフィックを高速に処理できます。
多くのルーターにACL機能として標準搭載されているため、追加コストなしに基本的なフィルタリングを実現できることも大きなメリットです。
デメリットと限界
一方でデメリットも明確です。アプリケーション層の内容を検査できないため、許可されたポートを使った不正通信を防げません。
ステートレス動作による戻りパケット管理の複雑さ・IPスプーフィングへの脆弱性・細かいアクセス制御が困難という限界もあります。
現代のネットワーク環境では単体での使用は限界があり、ステートフルインスペクションやNGFWと組み合わせた多層防御が標準的なアプローチです。
| 観点 | メリット | デメリット |
|---|---|---|
| 処理速度 | 高速・低オーバーヘッド | - |
| コスト | ルーターに標準搭載 | - |
| セキュリティ | 基本的なアクセス制御 | アプリケーション層の攻撃に無力 |
| 管理 | シンプルなルール設定 | ルール増加で管理が複雑化 |
まとめ
本記事では、パケットフィルタリング型ファイアウォールの定義・動作原理・ルール設定・メリット・デメリットについて解説しました。
パケットフィルタリング型ファイアウォールはIPヘッダー情報のみを検査するシンプルかつ高速なファイアウォールであり、デフォルト拒否の原則とACLのルール順序管理が設定の基本です。
アプリケーション層への攻撃への限界を理解した上で、ステートフルインスペクションや次世代ファイアウォールと組み合わせた多層的なネットワークセキュリティの構築が現代の標準的なアプローチとなります。
パケットフィルタリングの基本を正しく理解し、ネットワーク設計の基礎知識として活用していきましょう。
