ウェブサイト ファイアウォールとは何ですか? WAF とその他のファイアウォールの説明
公開: 2023-01-13Web サイトを所有している場合は、それを保護する必要があります。 パーソナル コンピューターと同様に、Web サーバー (およびそれらで実行されているソフトウェア) は、常にハッカーによって調査され、攻撃されています。 このため、ハッカーやその他の悪質なトラフィックをサイトから遠ざけることが重要です。 そこで、Web サイト アプリケーション ファイアウォール (WAF) が介入します。単純にするために、これを「Web サイト ファイアウォール」と呼ぶことができます。
ウェブサイト ファイアウォールとは正確には何ですか?
簡単に言えば、Web サイト ファイアウォールは、コンピューターまたはサーバーとその他の世界との間のセキュリティ フィルターです。 悪意のあるハッカーは、安全でないサーバーに侵入することで生計を立てています。 WordPress やその他の一般的なコンテンツ管理システムなどの広く使用されている Web アプリケーションは、大きな攻撃対象領域になります。 これが、WordPress サイトを保護することが非常に重要である理由です。
セキュリティの脅威に対する有効な防御策は、Web サイトのファイアウォールです。
ファイアウォールにはさまざまな種類があるため、最適なソリューションを使用していることを確認する必要があります。 このガイドでは、さまざまな種類のファイアウォールについて説明します。 WordPress サイトを保護するために 1 つが必要な理由と、1 つを設定する方法について説明します。
飛び込みましょう。
ファイアウォールは、Web サイトの巨大なセキュリティ ゲートと考えてください。
ウェブサイト ファイアウォールは何をしますか?
Web サイトにアクセスするたびに、Web サーバーと呼ばれる別のコンピューターに接続しています。 Web サーバーは、他のコンピューターと同様に悪意のある攻撃にさらされています。
間に保護層がなければ、外部または未知のデバイスに直接接続するのは安全ではありません。 安全でない接続により、ハッカーが接続されたデバイスをマルウェアに感染させる可能性があります。
送信されたすべての要求を受け入れる Web サーバーに対して、全面的な分散型サービス妨害 (DDoS) 攻撃を開始することさえあります。 1 分間に 100 万件の不正なリクエストがサイトに侵入することはありませんが、サーバーに負荷がかかり、サイトがダウンする可能性があります。 不正なリクエストや偽のトラフィックを認識するファイアウォールを使用している場合、それらはブロックされ、サイトを表示したい実際のユーザーからの正当なリクエストのみが処理されます。
これが、ファイアウォールが非常に重要である理由です。 ファイアウォールは、サイトと、サイトに接続しようとする他のすべてのデバイスとの間に立っています。 Web サーバーの場合、ホストは、サーバーと他のデバイスとの毎日の数百、数千、さらには数百万の接続との間に立つフィルターとしてファイアウォールを使用します。 あなたのウェブサイトの場合、WordPress に追加されたソフトウェアベースのウェブサイト ファイアウォールは、制御可能な別の保護層を追加します。
ウェブサイト ファイアウォールはどのように機能しますか?
ファイアウォールは、発信トラフィックと着信トラフィックを監視し、ハッキングやその他の悪意のある活動の兆候を常にスキャンします。 通常とは異なる何かを検出すると、ファイアウォールは目的の宛先への到達を阻止します。
Web サイトのファイアウォールは、Web サーバーの巨大なフィルターと考えてください。
1990 年代初頭にネットワーク ファイアウォールが初めて利用可能になったとき、それらは単純なパケット アナライザーであり、非常に小さなルール セットを使用して着信トラフィックのみをブロックすることができました。 実際、これらはハッカーにとって非常に簡単に迂回できました。
今日、ファイアウォールは、ハッカーが目的を達成するのを阻止するのに優れた複雑なプログラムになっています。 大量のハッキングの試みが日常的に発生しているため、ハードウェア ファイアウォールは、ネットワーク ルーター、スイッチ、および Web サーバーの重要な機能です。 優れたホストは、これらすべてを処理します。 しかし、あなたのウェブサイトを維持するのはあなたの責任であり、ファイアウォールを設定すると、これらの他のセキュリティ層が制限されます.
Web サイトにファイアウォールが必要ですか?
Web サイトにファイアウォールは本当に必要ですか? 本当に必要ですか?
いいえ、代わりに外部のクラウドベースの WAF を使用できる場合、WordPress セキュリティ機能プラグインまたはアドオンの一部として Web サイトで実行されているファイアウォールは絶対に必要ありません。
はい、クラウド WAF または Cloudflare や Sucuri などの Firewall-as-a-Service プラットフォームの一部として、Web サイトの前でファイアウォールを実行することで、絶対にメリットが得られます。
すべての Web サイトが WAF をホストし、着信要求をフィルタリングすると同時に、それらに応答し、データベースにアクセスし、ページをレンダリングし、キャッシュされたコンテンツを管理し、コンテンツ管理と e コマース アプリケーションを強化する必要がある場合、パフォーマンスが低下します。
堅実なマネージド WordPress ホスティングを使用していない場合、セキュリティに対するより高いリスクと責任の負担が Web サイトの所有者であり、サーバーのパフォーマンスが理想的ではない可能性があります。 この場合、クラウド WAF は非常に実用的な選択肢です。 (WordPress ホスティングには Liquid Web と Nexcess、クラウド WAF サービスには Cloudflare と Sucuri をお勧めします。)
あなたは幸運を感じていますか?
セキュリティの強化に失敗することはありませんが、一部の Web サイトは、Web サイト ファイアウォールから他のものよりも多くの恩恵を受ける場合があります。 Web サイトでビジネスを運営し、機密性の高い顧客データや個人の身元情報を保管している場合、標的になりやすく、責任も大きくなる可能性があります。 サイトを保護することはリスクが高いため、セキュリティを強化できるあらゆる方法を検討する必要があります。
ハッカーがあなたのウェブサイトを乗っ取ったり破壊したりしたら、あなたは壊滅的な打撃を受けますか? もしそうなら、ウェブサイトのファイアウォールは、質の高いホスティングとともに、あなたの安心感を高めます.
何が問題になる可能性がありますか?
Web サーバーに関して言えば、ハッカーが侵入すると、Web サイト全体がすぐに改ざんされる可能性があります。 サイト訪問者に感染するマルウェアを埋め込んだり、WordPress 管理者パスワードを変更してロックアウトしたり、Web サイトを完全にダウンさせたりする可能性があります。
サイトにファイアウォールがない場合、DDoS 攻撃に対して脆弱になる可能性があります。 このタイプの攻撃では、攻撃者は数千 (または数百万) の偽のデータ パケットを送信し、サーバーに過負荷をかけ、Web サイトをダウンさせます。
Web サイト ファイアウォールは、DDoS 攻撃以外にも、以下からサイトを保護します。
- 侵入 — Web サイトのファイアウォールは、許可されていないユーザーが Web サイトにアクセスするのを防ぎます。 ハッカーがサイトに侵入した場合、ハッカーがサイトに与えるダメージは無限大です。
- マルウェア —サーバーに侵入する悪意のある攻撃者は、ほとんどの場合、マルウェアに感染します。 彼らはマルウェアを作成して、個人情報や個人情報を盗み、他のデバイスに拡散し、コンピューターに損害を与えます。
- ブルート フォース攻撃 —ブルート フォース攻撃は、攻撃者が何千ものユーザー名とパスワードの組み合わせを試みて、WordPress サイトの管理者や他のユーザー アカウントに侵入しようとするハッキングの試みです。 DDoS 攻撃と同様に、ハッカーはボットネットを使用してブルート フォース攻撃を実行します。 ボットネットは、成功するまで毎分何百もの異なるログインの組み合わせをテストできます。
ファイアウォールの種類: 設置場所
前述したように、ファイアウォールにはいくつかの異なる種類があります。 それぞれが特定の状況に合わせて設計されています。 一部は、パーソナル コンピューターに適しています。 他のファイアウォールは、ネットワーク フィルタリング用に特別に設計されています。 Web サイト ファイアウォールは、これらの他のタイプのファイアウォールに続く最後の防衛線として Web サイトを保護します。
ファイアウォールは、展開できる場所、機能、およびその方法によって分類するのが最適です。
各タイプのファイアウォールは、ネットワークまたはコンピューティング デバイス上の固有の位置に配置またはインストールされます。 それらはハードウェアに組み込まれている場合があります。 これらは、コンピューターまたは WordPress などの Web アプリケーション内にインストールできるソフトウェアとしてパッケージ化されている場合があります。 ファイアウォールのタイプごとに、異なる機能があります。 さまざまな種類のトラフィックをフィルタリングするためにファイアウォールが使用するさまざまな手法もあります。
ファイアウォールの主なカテゴリ、タイプ、および手法について簡単に説明し、ファイアウォールの全体像を理解してもらいます。 WordPress の Web サイト ファイアウォールがどこに適合するかを理解するために、ファイアウォールの違いと関連性について説明します。
ハードウェア ファイアウォールとソフトウェア ファイアウォールの違い
すべてのファイアウォールはソフトウェアですが、ルーターやネットワーク スイッチなどのハードウェア デバイスに組み込まれているものもあります。 これらは、読み取り専用で変更できない場合や、フラッシュ メモリまたはその他の不揮発性で書き換え可能なメモリ チップに格納されているソフトウェアを変更する更新が必要な場合があります。 このようなファイアウォールは、ハードウェア ファイアウォールと見なされます。
ソフトウェア ファイアウォールは、コンピューティング デバイスのハードウェア上で実行されるスタンドアロン アプリケーションです。 パーソナル ファイアウォール アプリケーションのように、オペレーティング システムの一部であるか、オペレーティング システム上で実行されている場合があります。これについては、以下で詳しく説明します。
ソフトウェア ファイアウォールは、Web サーバーのオペレーティング システム上で実行され、ネットワーク ハードウェア ファイアウォールと組み合わせて、他の多くの Web サーバーのネットワーク ファイアウォールとして機能します。
ソフトウェア ファイアウォールは、WordPress の WAF のようなコンテンツ管理システムのコンポーネントとして追加される場合があります。 WordPress 内のファイアウォールは、サイトと基盤となるハードウェアの間にあるオペレーティング システムとミドルウェアを備えたテクノロジ スタックの上位にあります。 これまで見てきたように、これは Web アプリケーション ファイアウォールの例です。
ハードウェアとソフトウェアのファイアウォール: 長所と短所
ハードウェア ファイアウォールは、ソフトウェア ファイアウォールと同じタイプの機能を提供しますが、コンピューティング デバイスやサイトをホストする Web サーバーよりも先に、ネットワークの上流で動作します。 それらは、テクノロジー スタックのより深いレベルに組み込まれています。
気付いていなくても、インターネット ルーターにはハードウェア ファイアウォールがあります。 専用のハードウェア ファイアウォール デバイスとは少し異なりますが、同様の監視機能とセキュリティ機能を提供します。
アップデートと適応性
ソフトウェア ファイアウォールとハードウェア ファイアウォールの両方が、デバイスと他の世界との間に立ち、すべての接続要求を分析して、悪い要求をブロックします。 ソフトウェア ファイアウォールを更新して、その有効性を改善し、新しいスレッドに対応することができます。 ハードウェア ファイアウォールは更新が困難です。
バグを修正し、脆弱性にパッチを適用するために、ネットワーク ハードウェアにアップデートを適用する必要がある場合がありますが、ネットワーク サポート チームがいない場合、これはまれであり、困難なタスクです。 これは、古いネットワーク ハードウェアの安全性が低くなる傾向がある理由でもあります。 ハッカーはそれを悪用する方法を見つけました。 ハードウェア インフラストラクチャを維持するために、ホスティング プロバイダーに依存しています。これも、安くしない理由の 1 つです。
ハードウェア ファイアウォールには、このような欠点があります。 更新が非常に難しく、安全性を確保するために継続的なメンテナンスが必要なため、重要なビジネス ネットワークでは IT サポートが必要です。 家庭や多くの中小企業のネットワークは、セットアップが不十分で安全でない傾向があります。
アクセシビリティとパフォーマンス
さらに、ハードウェア ファイアウォールは、ネットワーク トラフィックを調べてフィルタリングするため、速度とパフォーマンスの問題を引き起こす可能性があります。 これは、ソフトウェア ファイアウォールと一緒に使用する場合に特に当てはまります。 複数のファイアウォールを連携させると、より高いセキュリティが得られる可能性がありますが、それらすべてに複雑なルールがある場合、スループット (ネットワーク上のデータ転送速度) が犠牲になる可能性があります。
また、ほとんどのハードウェア ファイアウォールは、個々のユーザーやデバイスをブロックしたり制限したりすることを意図していません。 これは通常、機能セットには含まれていません。
大規模なネットワークを使用している場合、ハードウェア ファイアウォールはネットワーク全体を簡単に保護でき、ネットワークが危険にさらされても機能し続けます。 大規模なネットワークでソフトウェア ファイアウォールを設定するのははるかに難しく、ハッカーが侵入できる場合は簡単に無効にすることができます。通常、ハッカーはハードウェア ファイアウォールを無効にすることはできません。
ソフトウェア ファイアウォールは、技術的な専門家ではない人にとってより使いやすいものにすることを目的としています。 これらのファイアウォールは、特定のアプリケーションをブロックし、デバイス ユーザーを管理し、ログを作成し、ネットワーク上のユーザーを監視する機能を提供します。 ネットワーク設定でのセットアップははるかに困難ですが、複数のデバイスにインストールすると、ハードウェア ファイアウォールよりも詳細に制御できます。
ファイアウォールの種類: 使用するさまざまな手法
ファイアウォール ソフトウェアは常に進化しており、さまざまなタスクや状況を処理するためにさまざまな技術が登場しています。
現在、ユーザーを保護するために使用する技術によって定義された、12 種類近くの主要なファイアウォールがあります。 これらは、パケット フィルタリング ファイアウォール、回路レベル ゲートウェイ、アプリケーション レベル ゲートウェイまたはプロキシ ファイアウォール、ステートフル マルチレイヤ インスペクション (SMLI) ファイアウォール、脅威に焦点を当てた NGFW を含む次世代ファイアウォール (NGFW)、ネットワーク アドレス変換 (NAT) ファイアウォール、クラウドファイアウォール、および統合脅威管理 (UTM) ファイアウォール。
これらのうち、より古い、より基本的なファイアウォール テクノロジと、ネットワーク フィルタリングにおける最新の最先端の開発を表す 3 つだけを見ていきます。
パケット フィルタリング ファイアウォール
このタイプのファイアウォールは、これまでに開発された最初のファイアウォールの 1 つです。 また、最も単純な種類のファイアウォールでもあります。
パケットは、サーバーとコンピューター間のデータ交換です。 たとえば、ファイルをアップロードしたり、電子メールを送信したり、リンクをクリックしたりすると、パケットがサーバーに送信されます。 デバイスがウェブページを読み込むとき、サーバーはパケットをあなたに送り返しています。
パケット フィルタリング ファイアウォールは、パケットを分析し、定義済みのルールに違反している場合はブロックします。 IP アドレスや特定のサーバーからのパケット、または特定のサーバーの場所に到達しようとするパケットをブロックできます。
残念ながら、パケット フィルタリング ファイアウォールは、ハッカーにとって非常に簡単に回避できます。 高度なルールを適用することはできません。 特定のポートを介したアクセスを許可するように設定されている場合、ファイアウォールはすべてを通過させます。 最新のファイアウォールが正当でないと認識しているトラフィックでさえ、停止されることなく通過します。
利点として、パケット フィルタリング ファイアウォールは非常にシンプルで、パフォーマンスに影響を与えません。 ログを保存したり、トラフィックを検査したり、高度な機能を実行したりすることはありません。 しかし、今日、これらのファイアウォールは、保護の主要なソースとして意図されていません。
ステートフル ファイアウォール
ステートフル ファイアウォールは、単純なパケット フィルタリング ファイアウォールの後に導入されました。 このアイデアは当時としては革新的でした。 パケットが到着したときに分析し、単純なルールで一部をブロックする代わりに、ステートフル ファイアウォールは、ネットワークを通過するパケットを監視しながら、より動的なブロック ルールを展開できます。
単純なパケット フィルタリング ファイアウォールは、あらかじめ定義された静的なルールに基づいてトラフィックをブロックするだけですが、ステートフル ファイアウォールは、ユーザー パターンやその他の高度な手法を検出することで、不正なトラフィックを検出してブロックします。
ステートフル ファイアウォールの唯一の欠点は、単純なファイアウォールよりも多くのリソースを使用することです。 しかし、信頼できるソリューションです。
次世代ファイアウォール
最後に、NGFW または次世代ファイアウォールがあります。 これは、現在の世代のセキュリティおよび Web サーバー技術が生み出した最近の発明です。 NGFW は、多くのファイアウォール技術を 1 つのソリューションに組み合わせたエンタープライズ ツールです。 通常、それらはクラウドベースであるか、Firewall-as-a-Service プラットフォームの一部です。 Cloudflare と Sucuri は、このように Software-as-a-Service (SaaS) プラットフォームを通じてクラウドベースの WAF 機能を提供しています。
NGFW のネットワーク機能には、アプリケーションの監視、侵入防止、および詳細なパケット検査とフィルタリングが含まれます。 彼らは、保護しているネットワーク内の他のアプリケーションを認識しており、それらを制御できる場合があります。 また、最新の新たな危険に対応するために、新しい脅威インテリジェンスで更新することもできます。
最もよく使用するファイアウォールの種類
あなたがネットワーク管理者であるか、自宅のルーターやワイヤレス アクセス ポイントのカスタマイズに時間を費やしていない限り、ハードウェア ファイアウォールと頻繁に接触することはまずありません。 最もユーザーフレンドリーでアクセスしやすいファイアウォールは、コンピューターまたは Web サイトで実行される可能性があります。 これらは、パーソナル ファイアウォールと Web アプリケーション ファイアウォールです。
パーソナル ファイアウォール
パーソナル ファイアウォールは、1 台のコンピューターで使用されます。 これは、macOS、Windows、および多くの Linux マシンにプレインストールされている、またはサードパーティのウイルス対策ソリューションに組み込まれているファイアウォールのタイプであり、個人的に構成可能なファイアウォールも含まれている場合があります。
パーソナル ファイアウォールは、サーバー ファイアウォールとよく似た働きをします。 定義済みのルールに基づいて、外部のアプリケーション、IP、およびデバイスからの接続を拒否または許可します。 しかし、パーソナル ファイアウォールの機能は、サーバー ファイアウォールとは少し異なります。
パーソナル ファイアウォールは次のことを行います。
- オンライン アプリケーションまたは Web サイトに接続するすべてのコンピューター ポートを保護します。
- ネットワークをすり抜けようとする攻撃を阻止します。
- 悪意のある人物が個人のデバイスを乗っ取ったりアクセスしたりするのを防ぎます。
- 疑わしいアクティビティがないか、すべての発信および着信トラフィックを分析します。
さらに、それらはデバイスのアプリ アクティビティを監視するアプリケーション ファイアウォールです。 効果的なパーソナル ファイアウォールは、不明または安全でないソフトウェアとの接続を拒否します。
パーソナル ファイアウォールは簡単に使用できます。 Windows 10 を実行している場合は、パーソナル ファイアウォールが自動的に実行されます。
macOS ユーザーの場合、保護するためにパーソナル ファイアウォールをオンにする必要があります。 マシンで行う必要があるのは、[システム設定] >> [セキュリティとプライバシー] >> [ファイアウォール] に移動することだけです。
ほとんどのウイルス対策プログラムには、ファイアウォールも付属しています。 アバスト アンチウイルスはその一例です。
パーソナル ファイアウォールを購入することもできますが、ほとんどのマシンのデフォルト設定と競合する傾向があり、コンピューターのオペレーティング システムにファイアウォールが装備される前ほど有用ではありません。
Web アプリケーションとアプリケーション ファイアウォール
Web アプリケーションとアプリケーション ファイアウォールは、今日最も進化した動的なファイアウォール セキュリティです。
従来のネットワーク ファイアウォールは、一般的なネットワーク トラフィックのみを監視します。 ネットワーク上で使用されるアプリ、サービス、およびその他のソフトウェアの変更によって送受信されるトラフィックを検出するのに苦労するか、失敗します。
アプリケーション ファイアウォールは、ネットワークまたはアプリケーション内の脆弱性を調査して悪用する侵入の試みを捕捉するように設計されています。 これらは、ワイヤレス アクセス ポイントとルーター ハードウェアに組み込まれています。 これらは、オペレーティング システムにバンドルされているソフトウェア、または特定のオペレーティング システム用に設計されたセキュリティ ソフトウェアです。
ネットワーク アプリケーション ファイアウォールは、Apple のファミリー共有システムのようなペアレンタル コントロールのために、ユーザーに制限を設定するために使用されます。 多くの組織は、特定の Web サイトやアプリへのアクセスをブロックするためにそれらを使用しています。
Web アプリケーション ファイアウォールは、これらの他のアプリケーション ファイアウォールと非常によく似た働きをします。 それを際立たせているのは、それが保護し、専用のアプリケーション内で実行されることです。 WAF は、1 つの Web アプリ (あなたのアプリ) のセキュリティに重点を置いています。
WordPress のファイアウォール: 知っておくべきこと
自分自身と自分の WordPress サイトを保護したい場合は、外部からのハッカーの侵入を防ぐファイアウォールが必要です。
コンピュータのパーソナル ファイアウォールに関しては、通常、独自のファイアウォールをインストールする必要はありません。 最新のオペレーティング システムに組み込まれているファイアウォールは、追加のセットアップを必要とせずに非常にうまく機能します。 それらがウイルス対策ソフトウェアとルーターのパケット フィルターに乗っているアプリケーション ファイアウォールと組み合わされている場合、個人のデバイスは誰かが侵入してすべてのオンライン アカウントにアクセスできないように保護する必要があります。
しかし、WordPress サイトはどうでしょうか?
ファイアウォールと iThemes Security Pro の組み合わせ
それはまったく別の話です。 Web サイトは Web 全体で直接攻撃される可能性があり、優れたネットワーク セキュリティを備えた高品質のホスティングを使用している場合でも、一部の攻撃は常に通過します。 その場合、防御の最後の層は、Web サイトの所有者または管理者として制御できる主要な層です。 Web サイトを保護し強化することは、あなたの責任であり、あなただけのものです。
WordPress サイトのセキュリティを確保するための最初のステップは、強力な WordPress セキュリティ プラグインをダウンロードしてインストールすることです。 iThemes Security Pro は、これに対する完璧なソリューションです。
iThemes Security Pro プラグインは使いやすく、サイトにロックダウン セキュリティ プロトコルを提供し、ハッカーや悪意のある攻撃を 24 時間 365 日食い止めます。
次のステップは、Web アプリケーション ファイアウォールを採用することです。 これを行う最も簡単で効果的な方法は、Cloudflare または Sucuri のリモートのクラウドベース WAF を使用することです。 彼らの Firewall-as-a-Service はホスティング インフラストラクチャで実行されており、あなたのインフラストラクチャでは実行されていないため、サイトにパフォーマンス コストがかかることはありません。 数分以内に、クラウド WAF を起動して実行し、WordPress サイトとユーザー認証の基本的なセキュリティ強化に焦点を当てた iThemes Security Pro プラグインと一緒にサイトを完全に保護することができます.
それを超えて、サーバーを適切に維持する管理されたWordPress Webホストを選択してください. ユーザーと専門家の WordPress コミュニティに存在し、それに焦点を当てているホスティング会社には、他にも多くの利点があります。 そのため、WordPress ホスティングのすべてのニーズに Liquid Web と Nexcess をお勧めします。
安価な WordPress ホストには適切なセキュリティ プロトコルが欠けていることが多く、サイトに大きな問題を引き起こす可能性があります。
WordPress サイトを保護するのはあなたの仕事です
WordPress サイトをハッカーや悪意のある攻撃から確実に保護できるのはあなただけです。 これを行う最善の方法は、iThemes Security Pro プラグインと組み合わせた Web アプリケーション ファイアウォールのワンツー パンチを使用することです。
また、熟練したハッカーがサイトに侵入して損害を与えないようにする 100% 確実な方法はないため、WordPress バックアップ プラグインは絶対に必要です。
BackupBuddy などのバックアップ プラグインを使用すると、ハッキング中にサイトが破損したりダウンしたりした場合でも、すぐにサイトを正常な状態に復元できます。
これは、使用する必要がまったくないことを願っているプラグインですが、必要になった場合は喜んで使用してください。
Dan Knauss は、StellarWP のテクニカル コンテンツ ジェネラリストです。 彼は 1990 年代後半からオープン ソースで、2004 年からは WordPress で、ライター、教師、フリーランサーとして働いています。