ステートフルインスペクションとは何か

ファイアウォールの一つである。


https://www.infraexpert.com/study/security25.html

ファイアウォールの基本機能

　ファイアウォール製品には、ステートフルインスペクションとステートフルフェールオーバーと呼ばれる
　ファイアウォールとしての2つの基本機能が備わっています。以降ではこれら2つの基本機能を解説します。
　※　ステートフルインスペクションは、ステートフル パケット インスペクション（ SPI ）とも呼ばれる。



　◆　ステートフルインスペクション Stateful Inspection

ステートフル・インスペクション(Stateful Inspection)とは、TCPコネクションや往復が必須のUDP(DNSやNTP等)を管理し、戻りの通信についてを動的に許可する仕組みのことです。

　ステートフルインスペクションとは、ファイアウォールを通過するパケットの中身を見て、動的にポートを
　開放したり、閉鎖したりする機能のことです。このステートフルインスペクションではLAN側から送信した
　データをセッションログとして一時的に保存しておき、WAN（インターネット）側から到着したパケットが
　セッションログと整合性が合うかどうかを確認して、整合性があう場合は開放、矛盾する場合は閉鎖します。


　一般的に、このステートフルインスペクションは
　LAN側（内部）から発信したトラフィックは、その
　戻りのトラフィックを動的に許可させて、WAN側
　から開始される着信トラフィックは拒否するという
　実装で使用する機能です。

　Cisco ASAやJuniper SRXなどの主要なFWでは
　ステートフルインスペクションがデフォルトで
　有効な仕様なので、特に設定が必要ありません。




　◆　ステートフルフェールオーバー

　ステートフルフェールオーバーとは、ファイアウォールで保持している通信セッションの情報を、冗長化
　したバックアップのファイアウォールに引き継つぐことができる機能のことです。この機能により、主系
　のファイアウォールに障害が発生した場合でも、副系のファイアウォールで通信を継続することができる。

　ステートフルフェールオーバーを実装させるために、冗長化を構成する2台のファイアウォール同士を
　フェールオーバーケーブルで接続します。このフェールオーバーケーブルは、ファイアウォール製品に
　よって異なり、専用ケーブルまたはLANケーブルを使用します。フェールオーバーケーブルで接続した
　ファイアウォール間のリンクはフェールオーバーリンクと言い、このリンクでFWの正常性を確認します。