次世代ファイアウォールとはなにか--第2回:そもそもFWとは何かを考える

梅田正隆(ロビンソン)

2009-01-16 20:18

 ファイアウォールは、通信がどこからどこに宛てたもので、どんなサービスに対してアクセスされたかを基準に、通信することを許可するか否かを決めている。つまり、ファイアウォールはネットワークの境界において、いわゆる「関所(ゲートウェイ)」のような役割を果たしているわけだ。

ネットワーク世界の関所としてのファイアウォール

 実際にネットワークのどこにファイアウォールは配置されているだろうか。

 組織のネットワークにおいては、一般に外部ネットワークとの境界にDMZ(De-Militarized Zone)を設置し、ここにウェブやメールなどの公開サーバを置いている。このDMZの外側と内側にファイアウォールを設置して挟み込む。これがDMZを構成するときの基本的な考え方だ。内側のファイアウールの奥に、重要な基幹サーバを設置することによって、たとえ公開サーバが侵入されても、その奥にある重要なリソースを守れるからだ。

 基本的には、外部ネットワークからDMZへの通信は、サービスの公開に必要なHTTPやSSL、SMTPなどの通信以外は許可しないのが普通だ。逆に、内部からDMZへの通信は、公開サーバのメンテナンスに必要なFTPなどに限定して許可される。また、DMZから内部ネットワークへの通信は原則的に禁止となる。また、DMZから外部ネットワークへの通信についても、公開サーバを攻撃の踏み台にされないよう、必要なもの以外の通信は原則禁止とする。

 先に述べたように、ファイアウォールを2台用いてDMZを構成するのは、たいへん手堅いやり方だ。異なるベンダー製品で外部ファイアウォールと内部ファイアウォールを構成すると、もっと手堅いものになる。なぜなら、ファイアウォール自体を狙った攻撃を受けて外側のファイアウォールが破られた場合、内側のファイアウォールが同じ製品であると、これも簡単に破られてしまうと考えられるからだ。機種が違えば、少なくとも同じ攻め方は通用しないだろう。

 2台で挟み込む構成以外にも、2台のファイアウォールを並列に置いて、1台をDMZにつなぎ、もう1台を内部ネットワークにつなぐ構成もある。また、最も一般的なDMZの構成としては、1台のファイアウォールで構成する方法がある。これは、1台のファイアウォールに複数のNICを実装し、1つのNICをDMZに接続し、もう1つのNICを内部ネットワークに接続する構成をとる。ただ、この構成はファイアウォールを狙われて攻略されてしまった場合は、内部ネットワークへの侵入を許してしまう心配がある。

 いずれにしろ、ファイアウォールは外部の攻撃から内部ネットワークを守る関所と言える。

ZDNET Japan 記事を毎朝メールでまとめ読み(登録無料)

ZDNET Japan クイックポール

所属する組織のデータ活用状況はどの段階にありますか?

NEWSLETTERS

エンタープライズコンピューティングの最前線を配信

ZDNET Japanは、CIOとITマネージャーを対象に、ビジネス課題の解決とITを活用した新たな価値創造を支援します。
ITビジネス全般については、CNET Japanをご覧ください。

このサイトでは、利用状況の把握や広告配信などのために、Cookieなどを使用してアクセスデータを取得・利用しています。 これ以降ページを遷移した場合、Cookieなどの設定や使用に同意したことになります。
Cookieなどの設定や使用の詳細、オプトアウトについては詳細をご覧ください。
[ 閉じる ]