透過型ファイアウォールとは？ブリッジモードとルータ型の違い

「ファイアウォールを追加したいが、ネットワークを作り直す余裕はない」——既存ネットワークにセキュリティ機器を足そうとすると、多くの場合この壁に当たります。その文脈で選択肢になるのが**透過型ファイアウォール（ブリッジモード）**です。この記事では、一般的なルータ型との違いを軸に、透過型とは何かを整理します。

ルータ型ファイアウォールの導入で起きること

一般的なファイアウォールは、ネットワーク上でルータ（L3機器）として動きます。パケットを「経路にしたがって転送する」機器なので、導入するとネットワークの一員——いわば「住人」になります。住人になるということは、

• ファイアウォール自身にIPアドレスを割り当てる
• 前後のセグメントのアドレス設計を見直す（場合によってはサブネット分割）
• 既存機器のデフォルトゲートウェイ設定を変更する
• 経路（ルーティング）を設計し直す

という作業が発生するということです。新規構築なら自然な手順ですが、動いている既存ネットワークに後から足す場合、この再設計は影響範囲の調査・全端末の設定変更・切り替え手順の計画と、本来やりたかった「セキュリティの追加」よりはるかに大きな仕事になりがちです。

透過型（ブリッジモード）は L2 で「挟む」

透過型ファイアウォールは、ルータではなくL2ブリッジとして動きます。イーサネットフレームを片方のポートからもう片方へ運びながら、その途中で検査する——例えるなら「賢い線」です。

• ファイアウォールのデータポートはIPアドレスを持ちません
• 経路表にも現れないため、既存のIP設計・ゲートウェイ設定・ルーティングに一切手を入れません
• 既存の回線を一箇所で切り、その間に挟むだけで導入できます

この設置スタイルは bump-in-the-wire（線の途中のこぶ）と呼ばれます。両隣の機器から見ると、間に何かが挟まったことすら分からない——それが「透過（トランスペアレント）」の意味です。

「L2で挟む」のに、なぜドメインまで見えるのか

ここでよくある誤解が、「L2の機器なのだから、見えるのはMACアドレスくらいでは？」というものです。

実際には、設置モデル（どの層で網に参加するか）と、検査の深さ（パケットのどこまで読むか）は別の問題です。L2ブリッジとして挟まっていても、通過するフレームの中身にはIPヘッダもTCPヘッダもTLSのハンドシェイクも含まれています。透過型ファイアウォールはそれらを読み、L3/L4（IP・ポート・プロトコル）に加えて、L7の情報——HTTPSであれば接続先ドメイン名（SNI）——まで判定材料にできます。

「L2で透過＝検査も浅い」ではなく、「網への参加はL2、検査はL7まで」が成立する。これが透過型の実用上のポイントです。

向くケース・向かないケース

観点	透過型（ブリッジモード）が向く	ルータ型が向く
既存ネットワーク	構成を変えずに検査・遮断を足したい	これから新規に設計する
やりたいこと	特定の回線・セグメントの通信を見て絞る	NAT・ルーティング・VPN終端などL3機能も担わせたい
設置単位	守りたい回線ごとにピンポイントで挟む	ネットワークの境界に集約する

透過型はL3機能（NATや経路制御）を担いません。それらが必要なら、既存のルータやルータ型FWとの役割分担になります。

正直な注意点

「挟むだけ」とはいえ、物理的に回線へ直列に入る機器であることに変わりはありません。

• 結線の際には、ケーブルを差し替える瞬断が発生します。「完全に無停止で導入できる」わけではなく、作業ウィンドウの調整は必要です
• 直列に入る以上、その機器が止まったとき通信をどうするか——fail-closed か fail-open か——をあらかじめ決めておく必要があります。これは別記事で詳しく整理しています

まとめ

• ルータ型FWの導入は、IP設計・ゲートウェイ変更・経路再設計を伴う「ネットワークの作り直し」になりがち
• 透過型（ブリッジモード）はL2で挟むため、IPもトポロジも変えない（bump-in-the-wire）
• 設置モデルと検査の深さは別問題。L2で挟みつつ、接続先ドメイン（L7）まで判定できる
• ただし直列に入る機器であり、結線時の瞬断と障害時の挙動の設計は避けて通れない

透過型の運用の進め方（見てから絞る、という段階導入）は技術ガイド: 透過型ファイアウォール入門で、実際の導入の流れは導入ページで解説しています。