Zenn
🍉

ACLとFirewallの違いについて

に公開
新卒1年目エンジニア
tech

「ACL」と「Firewall」って何が違うの?

こんにちは。
ネットワークやセキュリティの話をしていると、「ACL(エーシーエル)」とか「Firewall(ファイアウォール)」って言葉を聞くことがありますよね。

でも、ITに詳しくないと、

「どっちも“アクセスを制限する”ってことじゃないの?」
「名前が違うだけで、やってることは同じ?」

と思ってしまうかもしれません。
この記事では、この2つの違いを解説していきます。

ざっくり違いを比較してみる

項目 ACL(Access Control List) Firewall(ファイアウォール)
主な役割 通信の許可・拒否 通信の監視・制御・防御
処理の仕組み ステートレス(状態を見ない) ステートフル(状態を記憶)
適用される場所 ルーター、クラウドのサブネットなど サーバー、ゲートウェイ、OSなど
制御できる範囲 IPアドレス、ポート番号など IP、ポート、プロトコル、アプリ層まで
処理速度 軽量・高速 やや重いが高機能

ACLとは?

ACLは「Access Control List(アクセス制御リスト)」の略で、ネットワーク機器やクラウド環境で使われるシンプルなアクセス制御の仕組みです。

できること

  • IPアドレスやポート番号をもとに、通信を「許可」または「拒否」
  • 通信の方向(インバウンド/アウトバウンド)を指定して制御

特徴

  • ステートレス:通信の状態(セッション)を記憶しない
  • 高速・軽量:ルーターやクラウドのVPCなどで使われる

例(CiscoルーターでのACL設定)

access-list 100 permit tcp any any eq 80
access-list 100 deny tcp any any eq 22

この設定では:
・すべてのIPアドレスからのHTTP通信(ポート80)を許可
・すべてのIPアドレスからのSSH通信(ポート22)を拒否
その後、インターフェースに適用します:

interface GigabitEthernet0/0
ip access-group 100 in

このように、CiscoルーターではACLを番号で定義し、インターフェースの「in(受信)」または「out(送信)」方向に適用します。

ファイアウォールとは?

ファイアウォールは、より高度なセキュリティ機能を持つ防御システムです。
ACLよりも細かく、柔軟に通信を制御できます。

できること

  • 通信の状態(セッション)を追跡して判断(ステートフル)
  • アプリケーション層(L7)まで見て制御可能(例:HTTP、DNSなど)
  • ログ記録やアラート通知などの機能もあり

よく使われる種類

  • OSレベルのファイアウォール(例:Windows Defender Firewall、ufw)
  • クラウドのセキュリティグループ(AWS、Azureなど)
  • ハードウェア型ファイアウォール(Cisco ASA、FortiGate、Palo Altoなど)

例(Cisco ASAでの簡単なアクセスルール)

access-list OUTSIDE_IN extended permit tcp any host 192.168.1.10 eq 443
access-group OUTSIDE_IN in interface outside

この設定では:
外部から内部のWebサーバー(192.168.1.10)へのHTTPS通信(ポート443)を許可
ルールを「outside」インターフェースに適用します。

どっちを使えばいいの?

シーン おすすめ
ネットワークの出入り口でざっくり制御したい ACL
サーバー単位で細かく制御したい ファイアウォール
通信の状態や中身を見て判断したい ファイアウォール
軽量で高速な制御が必要 ACL

まとめ

ポイント ACL ファイアウォール
何をする? 通信を通すかどうか決める 通信の内容や状態を見て制御
どこで使う? ネットワーク機器、クラウドのVPCなど サーバー、OS、ゲートウェイなど
難しさ シンプルでわかりやすい 高機能で柔軟だがやや複雑

最後に

ACLとファイアウォールは、どちらも「ネットワークを守るための仕組み」ですが、使い方や目的が少し違います

  • ACLは「誰が通っていいか」を決めるシンプルな門番
  • ファイアウォールは「怪しい人を見つけて止める」セキュリティガード

どちらも大事なので、場面に応じて使い分けることが大切です!

Discussion