ルータ型FWの「重さ」はどこから来るか
一般的なファイアウォールは L3(ルータ)として動きます。つまりネットワークの「住人」です。導入するには IP アドレスを与え、経路を設計し直し、既存機器のゲートウェイ設定を変え、停止時間を調整する必要があります。この再設計コストが、「セキュリティを足したいだけ」の現場には重すぎることがあります。
L2透過 = ネットワークの「住人」にならない
透過型(トランスペアレント)ファイアウォールは L2 ブリッジとして動きます。フレームを右から左へ運びながら検査する「賢い線」であり、IPアドレスを持たず、経路にも現れません。既存の回線を一箇所切って挟むだけで、アドレス設計には一切手を入れません。これが bump-in-the-wire です。
透過型ならではの設計上の含意もあります。データポートが IP を持たない・管理サービスを載せないなら、データパス経由で管理面を攻撃する経路がそもそも存在しません。管理は別NIC / 別VLANに分離されます。
運用の作法 — 見てから、絞る
インラインの遮断装置をいきなり全力で動かすのは危険です。正当な業務通信を知らずに遮断すれば、それは障害です。だから段階を踏みます。
この3段階は一方通行ではありません。新しいセグメントを足すときは observe に戻る。ポリシーを大きく変えるときは monitor で would-block を確認してから enforce する。「見てから、絞る」を往復するのが、インライン装置の安全な運用です。
fail-closed という選択
インライン装置には「箱が壊れたらどうなるか」という問いが必ず付きます。fail-open(素通し)は可用性に優しい代わりに、障害=無検査の窓になります。fail-closed(遮断)は安全側に倒れる代わりに、箱が可用性の単一障害点になります。どちらが正しいかは守るものによって違う — だからこの選択は、隠さず明示して選べるべきです。