「アプリケーションレイアーファイアウォール」とは何ですか?

アプリケーションレイヤーファイアウォールという中立的な概念はアプリケーションレイヤー上(レイヤー5と6)のフィルタリング機能を提供するものです。それを実現する為にはアプリケーションのセッションレイヤーとコンテンツの特徴をある程度理解する必要があります。

アプリケーションレイヤーファイアウォールはスタンドアロンのコンポーネントとして実装されるか、アプリケーションサーバのプラグインとして実装されるかが考えられます。このような機能はディープ・パケット・インスペクションとして、ネクストジェネレーションファイアウォール(次世代ファイアウォール)でカバーされています。

アプリケーション処理の機能をどこまで把握できるのかが課題です。複雑性なウェブアプリケーションの場合では、普通のアプリケーションレイヤーファイアウォールを利用すればプロキシのフィルターリング機能は限界となってしまいます。複雑なウェブアプリケーションをカバーするには多数のプロトコルを実装する必要があり、ウェブアプリケーションの動作と各製品からの影響(例えばブラウサーとウェブサーバのバーションの特徴等)も考慮する必要があります。

WAFはアプリケーションレイヤーファイアウォールの特別な種類です。しかし、全てのWAF機能を次世代ファイアウォールでカバーすると、そのファイアウオールは非常に複雑な製品になってしまいます。専用のWAFはそのファイアウォールより正確にアプリケーションセキュリティのニーズをカバーします。やはり、ウェブアプリケーションセキュリティを提供するにはアプリケーションレベルの特徴を正確に把握する必要があります。それに比べて、ファイアウォールはインフラストラクチャーの世界に限られています。

他の非httpプロトコルのプロキシソリューションもレイヤー5と6のフィルタリング機能が提供すればアプリケーションレイヤーファイアウォールとしてみなされています。とはいえ、数多くのプロキシソリューションは通信機能のみを提供しながら、上のレイヤーのためのフィルタリング機能は提供しません。プロキシソリューションの機能を分析すると、フィルタリング機能と通信機能について特に注意する必要がでてきます。

その意味では、Airlockのようなネットワーク用のWAFはフィルタリング機能を提供するhttpルーターのようにみなされます。

2016/11/4、 last update 2018/07/02 ©ACROSEC Inc.


Category: ウェブ・アプリケーション・セキュリティについてよくある質問

← 「アプリケーションレイアーファイアウォール」とは何ですか?