ファイアウオールはインターネットと企業などのLANとの境界に設置し、不審な通信がLANに侵入するのを防ぐ機器や機能だ。サイバー攻撃という炎からLANを守る「防火壁」となるのでこの名前が付けられた。
ファイアウオールの歴史は長く、インターネットが一般の企業で使われるようになった1990年代後半には存在していた。初期のファイアウオール機器は基本的な機能しか備えていなかった。後述するように、現在のファイアウオール機器は様々な機能を備えている。ただしファイアウオールを機能として説明する場合は、初期の機器が備えていた基本的な機能を指すことが多い。
IPアドレスで身分をチェック
ファイアウオールの基本機能は、宛先や送信元のIPアドレスやポート番号などに応じて通信の可否を決めることである。こうした情報は通信の身分証といえるだろう(PICT1)。
IPアドレスやポート番号で通信の可否を決める方式はパケットフィルタリングと呼ばれる。例えば社内から特定のWebサイトにだけアクセスできるようにするには、まず内から外のルールで、対象となるサイトのIPアドレスのTCP443番ポートへの通信を許可する。また同じIPアドレスの443番ポートから戻ってくる通信も許可する。そしてこれら以外の通信は禁止する。こうすると指定したIPアドレスのWebサイトとの通信だけが可能になる。
これに加えて、通信の状態を考慮して通過させるパケットを決めるのがステートフルインスペクションだ。
例えばTCPで通信を開始するときには、必ず3ウエイハンドシェークという手順を実行する。この手順でやってくるパケットや、3ウエイハンドシェークで通信路を確立した後の通信は自動的に通信を許可する。逆にこうした手順を無視して送られてくるパケットは自動で遮断する。