コンピュータネットワークとその外部との通信を制御し、内部のコンピュータネットワークの安全を維持することを目的としたソフトウェアまたはハードウェア。
チェックするパケットに応じて、次の3つに大分される。
パケットフィルタ型
ネットワーク層(レイヤ3)やトランスポート層(レイヤ4)に相当するIPからTCP、UDP層の条件で、通信の許可/不許可を判断するもの。以下の3つのフィルタリング方式がある。
| 名称 | 概要 |
|---|---|
| スタティックパケットフィルタリング | IPアドレスとポート番号でフィルタリングを実行。ルールは設定で静的に決まる。 |
| ダイナミックパケットフィルタリング | IPアドレスとポート番号でフィルタリングを実行。パケットを見てルールを動的に追加/削除できる。(開始パケットを見て、戻りパケットを許可するなど。)管理コストが低いが、想定外のパケットを許可してしまうことも。 |
| ステートフルインスペクション | ダイナミックパケットフィルタリングの一種。動的なルール定義に加え、TCP/UDPのセッション状態をチェックし、関係のないパケットの通過を拒否する。 |
