ネットワークセキュリティが考慮されるようなって以来、必ずファイアウォールはネットワーク上に存在してきましたが、旧来のファイアウォールは、いわゆるパケットフィルタでした。
これはIPアドレスとポート番号を単純にマッチングしていましたが、全てのパケットに対してマッチングを行うため戻りパケットに対してもルールの定義を行わなければならず、動的に変化するポート番号を使用するアプリケーションなどには対応が難しいものでした。

しかし、最近使用される多くのファイアウォール製品はインテリジェントファイアウォールと呼ばれ、戻りパケットを意識しないルールの作成や、旧来のファイアウォールでは防ぐことのできなかったDOS攻撃や成りすまし、ハッキングにおける調査行為、ワーム、スパムメールなどもブロックすることができるようになってきています。

これらの機能はとても便利で、構築から運用していく中で非常に役立ちますし、セキュリティも向上します。
一見良いことばかりに思えるインテリジェントな多くの機能ですが、実は設計構築する上で頭を悩ませるポイントでもあるのです。

何故か？それはインテリジェントであるが故に機能が単純ではなく、想定外の動作をすることがあるからです。
例えば、通信が大量に発生した際にDOS攻撃と誤検知してしまったり、パケットがRFCに準拠していないために破棄したところ実は許可するべきものだった、、などです。

ファイアウォールのメーカーはセキュリティの欠陥による事故を防ぐために、できるだけセキュリティ強度を高めたデフォルト設定を行いますが、上記のように大量の通信が集中したりRFCに準拠しないパケットを正規のアプリケーションが生成することは得てしてよくあります。

処理性能やセキュリティ欠陥の無いようルールを作成することも当然として必要ですが、インテリジェントファイアウォールを構築する際に「見えにくい問題」の原因を事前に取り除くためには、「インテリジェント機能の設定値」を勘どころとして見逃さないよう注意する必要があるでしょう。