ネットワークエンジニアでフリーランスの日々

ネットワークエンジニアでフリーランスのサイトです

お問い合わせ

Firewallの主な機能一覧

1. パケットフィルタリング

  • IPアドレス・ポート番号・プロトコルを基準にL3〜L4 レベルで通信を許可 / 拒否する。
  • Cisco では access-listとして使われる。
  • 最も基本的な FW 機能

2. ステートフルインスペクション

  • ASA/Firepower の基本動作
  • 行きと帰りのパケットが同じ経路を通ることを前提に通信を管理しており、「行き」のパケットが正しく処理されないと、「帰り」のパケットが来ても、その通信が何に対応するものか判断できず、ブロックする場合があります。

3. NAT(アドレス変換)

・Static NAT(固定)
・Dynamic NAT(動的)
・PAT(ポートアドレス変換)
・Twice NAT / Policy NAT(条件付き NAT)

4. アプリケーションインスペクション

  • HTTP・FTP・DNS・SIP など L7 を解析
  • Cisco ASA → policy-map type inspect dns/http/ftp
  • Firepower → L7 デコード、プロトコル検証

HTTP/FTP のポート以外での不正利用を検出可能。

5. IPS/IDS(侵入検知・防御)

  • 既知攻撃シグネチャでパケットをチェック
  • SQLインジェクション、DoS、脆弱性攻撃を検出
  • Firepower Threat Defense(FTD)で強力
  • ASA は別モジュール(旧 ASA+IPS)

6. URL フィルタリング

  • ギャンブル、アダルト、SNS などカテゴリ別ブロック
  • Firepower / FortiGate / Palo Alto で利用可能
  • ASA 単体では不可(外部サービスと連携が必要)

7. VPN(Virtual Private Network)

🔹 IPsec VPN(Site-to-Site)

  • 拠点間の暗号化トンネル
  • ASA/Firepower: crypto ikev1/ikev2, crypto ipsec

🔹 SSL-VPN(リモートアクセス)

  • Cisco Secure Client (AnyConnect) で接続
  • 証明書/ユーザー認証を利用

8. ユーザー認証・AAA

  • 自社のID(AD/RADIUS/LDAP)と連携
  • VPNログインやFW管理に利用
  • Firepower は FMC/FTD で AAA 設定が可能
  • ASA は aaa authentication で細かく設定可能

9. ルーティング機能

  • 静的/動的(OSPF / BGP / RIP)をサポート
  • ただし「本格的なルーターほど強くない」
  • FW なのでルーティングは補助的
  • Firepower は FTD 6.x〜から BGP/OSPF が強化

10. 高可用性(HA クラスタ)

  • Active/Standby または Active/Active
  • 設定同期
  • ASA/Firepower、FortiGate、Palo Alto で利用可能
  • 例:ASA → failover 構成

11. SSL/TLS 復号(Decryption)

  • HTTPS の中身を復号して IPS/URL フィルタにかける
  • Firepower / Palo Alto / FortiGate で強力
  • ASA 単体は不可(SSL VPN のみ)

12. ログ・監査機能

  • Syslog 出力
  • Connection log(接続ログ)
  • Threat log(IPSログ)
  • Firepower は FMC で可視化が非常に強力

まとめ:FWは「通信制御+可視化+脅威防御」が基本

分類機能
基本ACL, Stateful, NAT
L7アプリケーションインスペクション
セキュリティIPS/IDS, URLフィルタ, Malware防御
リモートアクセスIPsec / SSL VPN
運用ログ, 可視化, HA構成