プロキシファイアウォールとは?

プロキシ, 11月-1520225分で読める

プロキシ・ファイアウォールは、アプリケーション層でメッセージをフィルタリングするネットワーク・セキュリティ・システムと考えることができる。ゲートウェイやアプリケーション・ファイアウォールとも呼ばれ、ネットワークがサポートできるアプリケーションを制限します。セキュリティ・レベルは向上しますが、スピードと機能性に影響を与えます。従来のファイアウォールは、アプリケーション・プロトコル・トラフィックを検査することも、トラフィックを解読することもできません。

目次

プロキシ・ファイアウォールは、アプリケーション層でメッセージをフィルタリングするネットワーク・セキュリティ・システムと考えることができる。ゲートウェイやアプリケーション・ファイアウォールとも呼ばれ、ネットワークがサポートできるアプリケーションを制限します。セキュリティレベルは向上しますが、スピードや機能性に影響を与えます。

従来のファイアウォールは、アプリケーション・プロトコル・トラフィックを検査することも、トラフィックを復号化することもできない。ファイアウォールは通常、ウイルス対策ソリューションや侵入防御システム(IPS)を使用して脅威から保護します。プロキシサーバーはこのギャップを埋め、サーバーとインターネット上のコンピューターとの仲介役を果たします。ネットワークに出入りするデータを保護する。受信トラフィックを分析し、マルウェアや潜在的なサイバー攻撃の兆候を検出する。プロキシサーバー・ファイアウォールは、ネットワークの安全性を維持し、サイバー攻撃や無許可の第三者へのアクセスを防ぐために、デバイスからのリクエストをフィルタリング、キャッシュ、制御します。 

プロキシファイアウォールの動作

プロキシファイアウォールは、ネットワーク同士が直接接触することを許さないため、最も安全なファイアウォールだと考えることができる。また、独自のIPアドレスを持っているため、外部ネットワーク接続はネットワークからのパケットを直接受信することができません。 

プロキシファイアウォールは、組織がアプリケーションプロトコルの脅威レベルにアクセスし、エラー検出、有効性チェック、攻撃検出を実装することを可能にする。プロキシファイアウォールは、高度な脅威を発見し、アプリケーショントラフィックを分析するために、プロキシベースのアーキテクチャとディープパケットインスペクション(DPI)のような戦術を使用します。

プロキシファイアウォールを経由して外部サイトにアクセスしようとするユーザーは、以下のステップに従う必要があります。

  • ユーザーは、ハイパーテキスト転送プロトコル(HTTP)やファイル転送プロトコル(FTP)などのプロトコルを使用して、インターネットへのアクセスを要求する。
  • ユーザーのコンピュータは、自分のIPアドレスからサーバーのIPアドレスに同期(SYN)メッセージを送信し、自分とサーバーの間にセッションを作成する。
  • プロキシファイアウォールはこのリクエストを受け取り、自分のIPアドレスからサーバーのIPアドレスにSYN-ACK(synchronize-acknowledge)メッセージパケットを返信する。 
  • ユーザーコンピュータはSYN-ACKパケットを受信すると、最終的なACK(acknowledge)パケットをサーバーのIPアドレスに送信する。これは、プロキシへの接続を保証するが、有効なTCP(Transmission Control Protocol)接続ではない。
  • プロキシはそのIPアドレスからSYNパケットを送り、外部サーバーへの 接続を完了する。サーバーはSYN-ACKパケットを受け取ると、ACKパケットで応答する。これにより、ユーザーのコンピュータとプロキシ間、およびプロキシと 外部サーバー間の有効なTCP接続が保証される。

プロキシファイアウォールの利点

プロキシファイアウォールの利点を以下に示す。

コントロールと粒度

プロキシファイアウォールの重要な利点は、他のタイプのファイアウォールよりもきめ細かく制御できることである。それは、ユーザーの活動に関する詳細なレポートのためのアクセスログを含むことができ、個々のユーザーやグループにセキュリティレベルを適用するように構成することができるからである。 

脅威の評価

プロキシファイアウォールは、プログラマーにとってより簡単な方法だ:

  • エラーと攻撃検知の導入
  • アプリケーション・プロトコルの脅威レベルを評価する
  • 妥当性チェック

ロギング機能

プロキシファイアウォールは、ネットワークアクセスやポート番号を調べるだけでなく、ネットワークパケット全体を分析することもできる。プロキシファイアウォールのロギング機能は、セキュリティ管理者がセキュリティインシデントに対処しなければならないとき、貴重なリソースとして機能する。

セキュリティ

プロキシファイアウォールは、他のシステムとの直接的なネットワーク接続を防ぎ、最も安全なファイアウォールタイプと考えられています。プロキシファイアウォールは独自のIPアドレスを持っているため、外部ネットワーク接続がネットワークパケットを直接受信することを許さないことはご存知の通りです。 

プロキシファイアウォールのデメリット

プロキシファイアウォールの欠点を以下に示す。

スローパフォーマンス

プロキシファイアウォールはインターネット接続を遅くすることがある。それは、プロキシファイアウォールがユーザーコンピュータとインターネット間のサードパーティとして機能し、送受信パケットのための追加リンクを確立するためです。その結果、プロキシファイアウォールはパフォーマンスを低下させ、単一障害点となり、ボトルネックとして機能します。 

使いこなしへの挑戦

プロキシファイアウォールの主な欠点は、使い方が難しいことである。多くのユーザーは、インターネットにアクセスできないアプリケーションを使用しているときに、イライラしてファイアウォールを無効にしてしまいます。

プロキシサーバーのコスト

プロキシサーバーの運用と導入には費用がかかる。小規模な企業では、プロキシサーバーのセットアップ費用を処理することはできません。さらに、セットアップコストとは別に、考慮すべきコストがいくつかある。 

コンフィギュレーションの難しさ

プロキシのセットアップは、特定の目的を達成するためにあらかじめプログラムされている。したがって、他の一連の要件を満たすために、いくつかの処理を行う必要がある。プロキシをセットアップするのは難しい作業かもしれない。あなたは、ハッカーがあなたの機密資料にアクセスできないような方法でそれを構築しなければならない。

プロキシ・ファイアウォールはどのように使われるのか?

プロキシファイアウォールは、許可されたユーザーと許可されていないユーザーとの間のバリアとして機能するため、重要なシステムを不正アクセスから保護するために使用することができます。プロキシファイアウォールは、ファイアウォールやルーターなどのハードウェアデバイスの中に導入することができます。プロキシー・ファイアウォールは、以下のことを実現するのに役立ちます。

  • スパイ活動やネットワーク侵入からの保護
  • 許可されたユーザーのみがコンピュータ・ネットワークのリソースにアクセスできるようにすること。
  • インターネット・ネットワーク上の不要なパケットやメッセージのフィルタリング

プロキシファイアウォールは、機密性の高いサイトや特定のユーザーに関連するサイトへのアクセスを制限するためにも使用できる。例えば、プロキシファイアウォールを使って、従業員が勤務時間中にツイッターやフェイスブックにアクセスできないようにすることができる。

結論

これまで、プロキシファイアウォールはアプリケーションレイヤーでメッセージをフィルタリングし、ネットワークリソースを保護することを説明した。パブリックインターネットとセキュアなローカルネットワーク間のゲートウェイとして機能する。内部ネットワークデバイスは、インターネットにアクセスするために、まずプロキシゲートウェイと相互作用する。プロキシファイアウォールは、システムに出入りするコンテンツを制限することで、システムのセキュリティも提供する。プロキシファイアウォールは、ユーザーから発信されるリクエストを監視、検査、管理し、マルウェアや攻撃者からネットワークを保護します。プロキシファイアウォールを使用するいくつかの重要な利点は次のとおりです:

  • 匿名性が確保される。
  • セキュリティの脅威からユーザーのコンピュータを保護する。
  • 制限されたウェブサイトのブロックを解除することができる。