ファイアウォールのパケットフィルタリング型について

パケットフィルタリング型ファイアウォールとは

パケットフィルタリング型ファイアウォールは、ネットワークを通過するパケットを、ヘッダ情報にもとづいて通過させるか拒否するかを判断する方式である。

OSI参照モデルでは主に第3層（ネットワーク層）および第4層（トランスポート層）の情報を利用する。

具体的には次のような要素を条件として使用する。

• 送信元IPアドレス
• 宛先IPアドレス
• 送信元ポート番号
• 宛先ポート番号
• 使用プロトコル（TCP/UDP/ICMPなど）
• TCPフラグ（SYN / ACK など）
• 通過インターフェース

ファイアウォールはこれらの情報をルール（ACL）と照合し、許可または拒否を決定する。

動作原理

パケットがファイアウォールに到達すると、事前に定義されたルールを上から順に評価する方式が一般的である（First Match方式）。

ルールの順序は挙動に直接影響するため、正しい設計が必要となる。

ステートレスとステートフル

ステートレス・パケットフィルタリング

ステートレス方式は、各パケットを独立して評価し、通信状態を保持しない。

IPヘッダやTCP/UDPヘッダの情報のみを基準に処理が行われる。

特徴

• 仕組みが単純で高速
• 状態管理を行わないため負荷が低い
• セッションの整合性を判断できない

弱点

• TCPハンドシェイクの成立可否を判断できず、不正なパケットの検出が難しい
• SYN Floodなどの攻撃に脆弱
• 外部からの不正なACKパケットをフィルタしにくい

ステートフル・パケットフィルタリング（Stateful Inspection）

ステートフル方式は、通信の状態（State）を記録し、正当なセッションかどうかを評価する。

TCPのSYN → SYN/ACK → ACK といったハンドシェイクの流れを追跡し、関連する応答かどうかを判定できる。

特徴

• セッション単位で通信の正当性を確認できる
• 不正な戻り通信を識別しやすい
• ルール設定が比較的少なくても安全性を確保できる

弱点

• 状態を保持するため、ステートテーブルの管理が必要
• 大量トラフィックによってステートテーブルが枯渇する可能性がある

利点

• ヘッダ情報のみを扱うため処理が高速
• ルールベースで明確なアクセス制御が可能
• ネットワーク基盤のレイヤーで制御できるため基本的な防御に適している

欠点

• アプリケーション層の内容（URLやHTTPボディなど）は解析できない
• Web攻撃（SQLインジェクション、XSSなど）を防御できない
• IPスプーフィングに対して弱い場合がある（特にステートレス）
• サービスが増えるとルールが複雑化しやすい

代表的な利用場面

• 外部から内部への特定ポートの通信制御（例：80/443 のみ許可）
• 内部ネットワークから外部ネットワークへの送信制御
• ルーターの基本的なフィルタリング機能としての利用
• VLAN間のアクセス制御

他のファイアウォール方式との比較

以上、ファイアウォールのパケットフィルタリング型についてでした。

最後までお読みいただき、ありがとうございました。