ファイアーウォール【 firewall 】

組織内のコンピュータネットワークへの外部からの侵入を防ぐシステム。

ファイアウォールの一般的な実装として、外部から発生するトラフィックは拒否しますが、

内部から外部へ発生したトラフィックの戻りのトラフィックは許可します。

そのため、

パケットが悪意あるトラフィックかどうかは確認できないので、

DoS攻撃やワームなどのトラフィックを効果的に防ぐことは難しい点があります。

（※例：不正なCGIのGET要求などは見破れません）

IDS【 Intrusion Detection System 】

侵入検知システム。

ネットワーク上を流れるパケットを分析し、

パターン照合により不正アクセスと思われるパケットを検出して、管理者に通知するシステムです。

シグネチャと呼ばれる攻撃パターンのデータベースを使用します。

検知システムなので、リアルタイムに攻撃を阻止することができません。

IPS 【Intrusion Prevention System】

侵入防止システム。

不正アクセスなどの悪意あるトラフィックや、

シグネチャを参照して不正アクセスに該当するパケットを検出すると、

通知するだけでなく、トラフィックを破棄したり、セッションを切断して

リアルタイムで防御します。（※DOS攻撃には有効）

通常いわれるファイアウォールは、ネットワークレベルを防御し、

IDS/IPSはOS・Webサーバレベルを防御します。

しかし、SQLインジェクションやクロスサイトスクリプティングといった

Webアプリケーションの脆弱性を突いた攻撃には、対処できません。

Webアプリケーションファイアウォール【Web Application Firewall】　/　WAF（ワフ）

「WAF」は、Webアプリケーションへの攻撃を防ぐために開発された防御ツールです。

これまでは安全であったWebアプリケーションであっても、

将来にわたって絶対安全とは決して言えない状況です。

従来、Webサイト開設時にセキュアコーティングの対策が行われてきましたが、

間に合わないのが現実です。

現存のソースコード改修対策もありますが、

難易度が高く、時間もかかり、

継続的な改修作業も必要となることから、膨大なコストを費やします。

そのため、Webアプリケーション層への攻撃対策として、「WAF」が登場しました。

Webサーバ.とインターネットなどの外部ネットワークとの間に設置され、

サーバへのアクセスを監視し、攻撃とみなされるアクセスパターンを検知するとブロックします。

つまり、「Webアプリが受け取る前に要求をチェックして、安全な要求だけをWebアプリに渡す」

という働きをします。