ファイアウォールポリシー設計

全ての拠点・ノード間を直接接続するネットワーク構成。高い冗長性と通信効率を持つが、拠点数の増加に伴い接続数がn(n-1)/2に増加するため、コストが大幅に増大する。WAN接続や重要なバックボーンで採用される。

通信のコネクション状態を追跡・管理し、正当な通信セッションに属するパケットのみを許可するファイアウォール技術。TCPの3ウェイハンドシェイクからコネクション終了までの状態を監視し、不正なパケットを検出・遮断する。

パケットのヘッダ情報（送信元/宛先IPアドレス、ポート番号、プロトコル等）に基づいて通過・遮断を判定するファイアウォールの基本的な方式。ACL（アクセス制御リスト）で許可・拒否のルールを定義する。処理が高速だが、パケットの内容は検査しない。

従来のファイアウォール機能に加え、アプリケーション識別、ユーザ識別、脅威防御（IPS、アンチマルウェア）等の高度な機能を統合した装置。ポート番号に依存せずアプリケーションを識別し、きめ細かなアクセス制御を行う。

ネットワークをセキュリティ要件に応じて複数のセグメントに分割し、セグメント間の通信を制御する手法。VLANやファイアウォールにより分離を実現し、マルウェアの感染拡大防止や情報漏洩対策に有効。マイクロセグメンテーションではワークロード単位で分離を行う。

ネットワーク設計に先立ち、業務要件や利用条件から必要なネットワークの機能要件と非機能要件を明確化する工程。帯域幅、可用性、セキュリティレベル、拡張性、移行条件等を整理し、設計の前提条件を定める。