5分で絶対に分かる：5分で絶対に分かる次世代／L7ファイアウォール (1/5)

アプリケーションレベルでの通信を制御する次世代ファイアウォール（L7ファイアウォール）について、5分で解説します。

　社内ネットワークを外部の不正な通信から守るソリューションに、「ファイアウォール」があります。しかし、時が経つとともに、従来型のファイアウォールでは対処できないようなセキュリティ上のリスクが発生してきました。本稿ではそうした新たなリスクに対応するためのソリューション、「次世代（L7）ファイアウォール」について解説します。

1分 -次世代（L7）ファイアウォールが生まれたわけ

　従来型のファイアウォールは、ポート、IPアドレス、プロトコルを基に、インターネットと社内LANなどのネットワーク間の通信を制御していました。

　しかし、かつては「ポート80はWeb」「ポート25はメール」といったように、ポート番号で単純にアプリケーションの識別を意味していたのに対して、現在のアプリケーションは、ポート80をWeb以外に利用したり、ポートを動的に変える「ポートホッピング」を利用したりするようになっています。

　このようなアプリケーションの動作は、従来型のファイアウォールからすれば想定外で、制御できません。現在のアプリケーションは、ファイアウォールをいとも簡単に回避して外部と通信するのです。また、近年は通常使用しているポートやプロコトルに対する攻撃も一般化しています。従来のファイアウォールでは、このような不正な通信を、検知・防御することができません。

　こうした従来型のファイアウォールが抱える弱点を解決するために生まれたのが、次世代ファイアウォール、あるいはL7ファイアウォールと呼ばれるアプリケーション層のファイアウォールです。本稿ではその仕組みを5分で解説します。