次世代ファイアウォールとはなにか--第2回:そもそもFWとは何かを考える

梅田正隆(ロビンソン) 2009年01月16日 20時18分

  • このエントリーをはてなブックマークに追加

 ファイアウォールは、通信がどこからどこに宛てたもので、どんなサービスに対してアクセスされたかを基準に、通信することを許可するか否かを決めている。つまり、ファイアウォールはネットワークの境界において、いわゆる「関所(ゲートウェイ)」のような役割を果たしているわけだ。

ネットワーク世界の関所としてのファイアウォール

 実際にネットワークのどこにファイアウォールは配置されているだろうか。

 組織のネットワークにおいては、一般に外部ネットワークとの境界にDMZ(De-Militarized Zone)を設置し、ここにウェブやメールなどの公開サーバを置いている。このDMZの外側と内側にファイアウォールを設置して挟み込む。これがDMZを構成するときの基本的な考え方だ。内側のファイアウールの奥に、重要な基幹サーバを設置することによって、たとえ公開サーバが侵入されても、その奥にある重要なリソースを守れるからだ。

 基本的には、外部ネットワークからDMZへの通信は、サービスの公開に必要なHTTPやSSL、SMTPなどの通信以外は許可しないのが普通だ。逆に、内部からDMZへの通信は、公開サーバのメンテナンスに必要なFTPなどに限定して許可される。また、DMZから内部ネットワークへの通信は原則的に禁止となる。また、DMZから外部ネットワークへの通信についても、公開サーバを攻撃の踏み台にされないよう、必要なもの以外の通信は原則禁止とする。

 先に述べたように、ファイアウォールを2台用いてDMZを構成するのは、たいへん手堅いやり方だ。異なるベンダー製品で外部ファイアウォールと内部ファイアウォールを構成すると、もっと手堅いものになる。なぜなら、ファイアウォール自体を狙った攻撃を受けて外側のファイアウォールが破られた場合、内側のファイアウォールが同じ製品であると、これも簡単に破られてしまうと考えられるからだ。機種が違えば、少なくとも同じ攻め方は通用しないだろう。

 2台で挟み込む構成以外にも、2台のファイアウォールを並列に置いて、1台をDMZにつなぎ、もう1台を内部ネットワークにつなぐ構成もある。また、最も一般的なDMZの構成としては、1台のファイアウォールで構成する方法がある。これは、1台のファイアウォールに複数のNICを実装し、1つのNICをDMZに接続し、もう1つのNICを内部ネットワークに接続する構成をとる。ただ、この構成はファイアウォールを狙われて攻略されてしまった場合は、内部ネットワークへの侵入を許してしまう心配がある。

 いずれにしろ、ファイアウォールは外部の攻撃から内部ネットワークを守る関所と言える。

  • このエントリーをはてなブックマークに追加
関連キーワード
セキュリティ

関連ホワイトペーパー

SpecialPR

  • 「奉行シリーズ」の電話サポート革命!活用事例をご紹介

    「ナビダイヤル」の「トラフィックレポート」を利用したことで着信前のコール数や
    離脱数など、コールセンターのパフォーマンスをリアルタイムに把握するに成功。詳細はこちらから

  • デジタル変革か?ゲームセットか?

    デジタルを駆使する破壊的なプレーヤーの出現、既存のビジネスモデルで競争力を持つプレイヤーはデジタル活用による変革が迫られている。これを読めばデジタル変革の全体像がわかる!