<FW、IPS、WAFの違い>
皆様はこの各機器・機能の差が良く分からなくなることはないでしょうか?
僕はセキュリティ業界で日々でお仕事をする立場にもかかわらず、あります!(お恥ずかしい限りです・・・)
そこで、今回はついつい忘れてしまいそうになる「FW、IPS、WAFの違い」について、備忘録もかねてご紹介しようと思います!!
あまり細かい説明はわかりにくいので、一枚の図に凝縮してみましたのでそちらをご覧頂ければと思います!!
ポイントだけ、下記に記載させて頂きます!
【FW】
・得意なレイヤーはOSIでいえばL2~L4(ほぼL3~L4と思っても良いと思います。)
・IPアドレスとポート番号の組み合わせで通信の妥当性を判断する!
・最近のFWは前後の通信の情報から、「ん?この通信ってなんかおかしくね?」的な通信を検知してブロックできる!
【IPS】
・得意なレイヤーはFWと同じと思ってOK!
・世の中にでている脆弱性をつく通信パターンがシグネチャ化されており、該当したらブロックできる!
(→アプリケーションの脆弱性へ無力)
【WAF】
・得意なレイヤーはL7のみ!
・http、https内の不正なコードなどを解釈してブロックできる唯一の機器!
(→FW、IPSではコード内容までの解釈は基本むりです・・・)
・XSS、SQLインジェクションなどに対して効果を発揮する唯一の機器!
(→FW、IPSでは困難)
【その他(次世代FW)】
・FWの機能に加えて、様々なアプリケーションが使用するポート番号を識別して、アプリケーション毎に通信の可否を決定したりできる。例えば、YouTubeは使用させるけど、インスタグラムは使用させない!みたいなことが可能。
(→但し、上記の例でYouTubeを使用する通信の中で行われる不正な攻撃等には無力。これに対処できるとするWAFになるイメージ)