サーキットレベルゲートウェイとは?
サーキットレベルゲートウェイは、トラフィックを許可する前に、OSIモデルのレイヤー5でTCPまたはUDPセッションを検証するファイアウォールの一種です。
回線レベルのゲートウェイは、信頼できるクライアントやサーバーと信頼できないホストとの間でハンドシェーキングを行うデバイスとして機能します。パケット内のデータを検査することなく、セッション・パケットが確立されたコネクションのルールに準拠していることを確認します。ゲートウェイは、セッション固有の基準に基づいてトラフィックを迅速に確認または拒否するチェックポイントとして機能します。
回路レベルゲートウェイの仕組み
回線レベルのゲートウェイは、信頼できる内部ネットワークと信頼できない外部ネットワークとの間の半透過的なブリッジとして機能します。OSIモデルのセッション層で動作し、2つのトランスポート層間の仮想回路上でTCP(伝送制御プロトコル)とUDP(ユーザーデータグラムプロトコル)パケットの監視と検証を行います。各セッションが正当で認可されたものであることを確認することで、ゲートウェイは各データパケットの内容を検査することなく、トラフィックの流れを制御します。
運用中、回線レベルのゲートウェイはTCPハンドシェイクプロセスを精査し、セッションの開始が信頼できるクライアントまたはサーバーと信頼できるホストの間で真正であることを確認します。最初のハンドシェイクが確立されたセキュリティ・ポリシーに一致する場合、ゲートウェイは接続を許可します。セッションの間、すべてのトラフィックが妨げられることなく流れることができる仮想回線を作成します。
このタイプのゲートウェイは、確立されたすべてのセッションとそれに対応するセキュリティ属性のテーブルを保持します。属性には、送信元と宛先のIPアドレスとポート番号、およびタイムアウトなどのセッション固有の詳細が含まれます。ゲートウェイはこの情報を使って進行中のトラフィックを管理し、セッションの有効性に基づいてデータパケットを許可または拒否します。
回線レベルのゲートウェイはTCPコネクションの有効性を効果的に確認しますが、データパケットのペイロードを検査することはありません。つまり、セッションが正しく確立されていれば、それ以降のトラフィック(潜在的に悪意のあるコンテンツを含む)は、より深い検査を受けることなく通過することができます。この特性は、包括的なネットワーク保護のために、回線レベルのゲートウェイを次世代ファイアウォールなどのより詳細なファイアウォール技術と組み合わせることの重要性を強調しています。
セッションが終了すると、サーキット・レベル・ゲートウェイはセッション・テーブルからそれを削除し、仮想サーキットを効果的に閉じます。このアクションにより、古い接続や不正な接続が持続しないようになり、内部ネットワークのセキュリティ体制の完全性が維持されます。
回路レベルゲートウェイの特徴
セッション層の動作
回線レベルのゲートウェイは、OSIモデルのセッション層で動作します。このポジショニングにより、ネットワーク接続を確立するTCPまたはUDPハンドシェイクを監視および認証することで、セッションを管理および検証することができます。
プライバシー保護
ゲートウェイが内部ネットワークの詳細を公開しないため、回線レベルのゲートウェイを使用するネットワークのプライバシーは強化されます。ホストの身元を外部のサービングホストから隠し、検証されたセッションのみを許可する仲介役として機能し、ネットワークの機密性を維持します。
独立型システム
スタンドアロン・システムとして、回線レベルのゲートウェイは独立して機能し、ネットワーク・セキュリティを提供することができます。セッションベースのトラフィックを管理・制御するために、他のセキュリティシステムとの統合は必ずしも必要ではありません。
セキュリティポリシーの実施
ゲートウェイは、セッション検証のための一連のルールを確立することで、セキュリティポリシーを実施します。データパケットの通過を許可する前に、すべてのセッションが事前に定義されたセキュリティ標準に準拠していることを確認します。
仮想回路接続
回線レベルのゲートウェイは、有効なセッションごとに仮想回線を作成し、データ伝送に安全なチャネルを提供します。この機能により、アクティブ・フェーズの間、接続の完全性が維持されます。
レポートと分析
回線レベルのゲートウェイはレポート機能を提供することで、ネットワーク管理者がセキュリティ・アプローチを見直し、微調整することを可能にします。これらのレポートは、セッションのアクティビティや潜在的なセキュリティ侵害に関する洞察を提供します。
サーキットレベルゲートウェイの利点
ネットワークパフォーマンスの向上
回線レベルのゲートウェイがネットワークの効率を向上させます。セッション・レイヤーで動作するため、ディープ・パケット・インスペクションを必要とせず、接続を迅速に処理し、待ち時間を最小限に抑えることができます。
簡易コンフィギュレーション
回線レベルのゲートウェイの設定は簡単です。接続の状態に焦点を当て、より高度なファイアウォール・ソリューションで必要とされる詳細なルールの設定に伴う複雑さを軽減します。
費用対効果
回線レベルのゲートウェイは費用対効果の高いソリューションです。その複雑でない性質は運用コストの削減につながり、効果的にネットワーク セキュリティを確保したい企業にとって、利用しやすいものとなっています。
低リソース利用
主にセッションレイヤーで動作するサーキットレベルゲートウェイは、他のファイアウォールタイプに比べて使用するリソースが少なくて済みます。このような無駄のない運転は、システム全体のパフォーマンスを維持するために有益です。
合理化されたネットワーク セキュリティ
他のファイアウォールとは異なり、サーキットレベルゲートウェイはアプリケーションごとに個別のプロキシサーバーを必要としないため、ネットワークセキュリティ管理が簡素化され、オーバーヘッドが削減されます。
回路レベルのゲートウェイの課題
限られた検査能力
回線レベルのゲートウェイは個々のデータパケットの内容を検査しないため、悪意のある内容のパケットでも、承認されたセッションの一部であれば通過することができます。
頻繁な更新要件
進化する脅威に対する有効性を維持するためには、回線レベルのゲートウェイは定期的なアップデートが必要です。このようなアップデートはリソースを必要とし、ゲートウェイのセキュリティ対策が最新であることを確認するためにITスタッフの注意が必要となります。
不十分なデータ漏洩対策
セッションの整合性を管理する一方で、回線レベルのゲートウェイはネットワーク内部からのデータ漏洩に対する防御を提供しません。そのため、機密情報を保護するための追加的なセキュリティソリューションを統合する必要があります。
トラフィック監視なし
回線レベルのゲートウェイには、セッションのハンドシェイクを検証する以上の不審な動作がないか、ネットワーク・トラフィックを監視する機能がありません。このような狭い焦点では、セキュリティ侵害やネットワーク問題の他の指標を見逃してしまう可能性があります。
TCP/IPスタック修正のベンダー依存性
回線レベルのゲートウェイはTCP接続にのみ対応しています。回線レベルのゲートウェイの有効性は、TCP/IPスタックの適切なコンフィギュレーションと密接に結びついており、通常、更新や変更にはベンダーの介入が必要です。
どのような場合にサーキットレベルゲートウェイを使用すべきでしょうか?
回線レベルのゲートウェイは、スピードとリソース効率が最優先される環境に適しているかもしれません。詳細なパケット検査の処理オーバーヘッドを伴わない、迅速なセッション検証を必要とする組織では、有用であると思われます。基本的なセキュリティ対策とネットワークパフォーマンスのバランスが必要な場面や、包括的なセキュリティシステムによるネットワーク遅延が懸念される場面で採用されることが多いです。
このタイプのゲートウェイは、ネットワーク・セッションのセキュリティを確保する費用対効果の高い方法を必要とする中小企業で使用されることがあります。回線レベルのゲートウェイは、複雑な企業環境における単独のセキュリティ対策としては十分ではありませんが、完全なセキュリティ戦略の構成要素として有用です。ディープパケットインスペクションやアプリケーションレイヤー監視が可能な次世代ファイアウォールと併用することで、さらなるセキュリティレイヤーを提供します。
サーキットレベルゲートウェイFAQ
