ファイアウォールの種類

パケットフィルタリング方式

IP レベルで転送するためアプリケーションからの透過性は高い。
IP/TCP ヘッダ情報しか見てない為、内部サーバ自身のセキュリティ対策が求められる。

アプリケーションレベル・ゲートウェイ

TCP データストリームを再構築してアプリケーションレイヤでの整合性をチェックする。
その分パケットフィルタリング方式に比べパフォーマンス面で劣るが安全性は高くなる。

ステートフルインスペクション

チェックポイント社が開発した技術で、同社のFirewall-1に組み込まれている。
ステートフルインスペクションではデータリンク層とネットワーク層の間に「INSPECTエンジン」と呼ばれる専用のプログラムを介して ネットワーク層以下の処理でアプリケーション層の中までチェックする。
個々の通信の状態は「ダイナミックステートテーブル」と呼ばれるデータベースに記録され、それに基づいて中継可否の判断をする。

関連用語

アンチ・スプーフィング

パケットの送信元IPアドレスを詐称することで侵入者が許可されてないアクセス権を取得しようとする行為。
例えば、インターネット上で発生するパケットを、内部ネットワークのパケットのように見せかけることが可能。 通常はファイアウォールでスプーフィングを検出するしくみがある。
VPN-1/FireWall-1では各インターフェースで有効と見なされるIPネットワークアドレスを定義し、 着信パケットのSource（送信元IPアドレス）を元にそのインターフェースで有効なパケットかを確認する。

SYNフラッド攻撃

TCPコネクションを確立するための3ウェイ・ハンドシェークを悪用した攻撃方法。
TCPで接続を確立するには、クライアントはサーバにSYNパケット（SYNビットをセットしたTCPパケット）をサーバに要求します。 要求を受けたサーバはSYN/ACKパケット（SYNとACKビットをセットしたTCPパケット）で応答します。 するとクライアントはACKパケットを返しTCP接続が確立します。
悪意のある攻撃者がソースIPを到達不能なアドレスにスプーフしたり、クライアントがわざとACKパケットを返さないと、サーバはACKパケットが返ってくるまで試行を繰り返します。 サーバは応答待ち（TCPハーフコネクション）の接続数が増えて限界に達し、そのうちTCP接続を受け付けられなくなったり、システムクラッシュを引き 起こすなどの障害が発生してしまいます。