ファイアウォールは、通信がどこからどこに宛てたもので、どんなサービスに対してアクセスされたかを基準に、通信することを許可するか否かを決めている。つまり、ファイアウォールはネットワークの境界において、いわゆる「関所(ゲートウェイ)」のような役割を果たしているわけだ。
ネットワーク世界の関所としてのファイアウォール
実際にネットワークのどこにファイアウォールは配置されているだろうか。
組織のネットワークにおいては、一般に外部ネットワークとの境界にDMZ(De-Militarized Zone)を設置し、ここにウェブやメールなどの公開サーバを置いている。このDMZの外側と内側にファイアウォールを設置して挟み込む。これがDMZを構成するときの基本的な考え方だ。内側のファイアウールの奥に、重要な基幹サーバを設置することによって、たとえ公開サーバが侵入されても、その奥にある重要なリソースを守れるからだ。
基本的には、外部ネットワークからDMZへの通信は、サービスの公開に必要なHTTPやSSL、SMTPなどの通信以外は許可しないのが普通だ。逆に、内部からDMZへの通信は、公開サーバのメンテナンスに必要なFTPなどに限定して許可される。また、DMZから内部ネットワークへの通信は原則的に禁止となる。また、DMZから外部ネットワークへの通信についても、公開サーバを攻撃の踏み台にされないよう、必要なもの以外の通信は原則禁止とする。
先に述べたように、ファイアウォールを2台用いてDMZを構成するのは、たいへん手堅いやり方だ。異なるベンダー製品で外部ファイアウォールと内部ファイアウォールを構成すると、もっと手堅いものになる。なぜなら、ファイアウォール自体を狙った攻撃を受けて外側のファイアウォールが破られた場合、内側のファイアウォールが同じ製品であると、これも簡単に破られてしまうと考えられるからだ。機種が違えば、少なくとも同じ攻め方は通用しないだろう。
2台で挟み込む構成以外にも、2台のファイアウォールを並列に置いて、1台をDMZにつなぎ、もう1台を内部ネットワークにつなぐ構成もある。また、最も一般的なDMZの構成としては、1台のファイアウォールで構成する方法がある。これは、1台のファイアウォールに複数のNICを実装し、1つのNICをDMZに接続し、もう1つのNICを内部ネットワークに接続する構成をとる。ただ、この構成はファイアウォールを狙われて攻略されてしまった場合は、内部ネットワークへの侵入を許してしまう心配がある。
いずれにしろ、ファイアウォールは外部の攻撃から内部ネットワークを守る関所と言える。
