次世代ファイアウォールとはなにか--第2回:そもそもFWとは何かを考える

梅田正隆(ロビンソン) 2009年01月16日 20時18分

  • このエントリーをはてなブックマークに追加

 ファイアウォールは、通信がどこからどこに宛てたもので、どんなサービスに対してアクセスされたかを基準に、通信することを許可するか否かを決めている。つまり、ファイアウォールはネットワークの境界において、いわゆる「関所(ゲートウェイ)」のような役割を果たしているわけだ。

ネットワーク世界の関所としてのファイアウォール

 実際にネットワークのどこにファイアウォールは配置されているだろうか。

 組織のネットワークにおいては、一般に外部ネットワークとの境界にDMZ(De-Militarized Zone)を設置し、ここにウェブやメールなどの公開サーバを置いている。このDMZの外側と内側にファイアウォールを設置して挟み込む。これがDMZを構成するときの基本的な考え方だ。内側のファイアウールの奥に、重要な基幹サーバを設置することによって、たとえ公開サーバが侵入されても、その奥にある重要なリソースを守れるからだ。

 基本的には、外部ネットワークからDMZへの通信は、サービスの公開に必要なHTTPやSSL、SMTPなどの通信以外は許可しないのが普通だ。逆に、内部からDMZへの通信は、公開サーバのメンテナンスに必要なFTPなどに限定して許可される。また、DMZから内部ネットワークへの通信は原則的に禁止となる。また、DMZから外部ネットワークへの通信についても、公開サーバを攻撃の踏み台にされないよう、必要なもの以外の通信は原則禁止とする。

 先に述べたように、ファイアウォールを2台用いてDMZを構成するのは、たいへん手堅いやり方だ。異なるベンダー製品で外部ファイアウォールと内部ファイアウォールを構成すると、もっと手堅いものになる。なぜなら、ファイアウォール自体を狙った攻撃を受けて外側のファイアウォールが破られた場合、内側のファイアウォールが同じ製品であると、これも簡単に破られてしまうと考えられるからだ。機種が違えば、少なくとも同じ攻め方は通用しないだろう。

 2台で挟み込む構成以外にも、2台のファイアウォールを並列に置いて、1台をDMZにつなぎ、もう1台を内部ネットワークにつなぐ構成もある。また、最も一般的なDMZの構成としては、1台のファイアウォールで構成する方法がある。これは、1台のファイアウォールに複数のNICを実装し、1つのNICをDMZに接続し、もう1つのNICを内部ネットワークに接続する構成をとる。ただ、この構成はファイアウォールを狙われて攻略されてしまった場合は、内部ネットワークへの侵入を許してしまう心配がある。

 いずれにしろ、ファイアウォールは外部の攻撃から内部ネットワークを守る関所と言える。

  • このエントリーをはてなブックマークに追加
関連キーワード
セキュリティ

関連ホワイトペーパー

SpecialPR

連載

CIO
研究現場から見たAI
ITは「ひみつ道具」の夢を見る
内製化とユーザー体験の関係
米ZDNet編集長Larryの独り言
今週の明言
「プロジェクトマネジメント」の解き方
田中克己「2020年のIT企業」
松岡功「一言もの申す」
林 雅之「デジタル未来からの手紙」
谷川耕一「エンプラITならこれは知っとけ」
Fintechの正体
内山悟志「IT部門はどこに向かうのか」
情報通信技術の新しい使い方
三国大洋のスクラップブック
大河原克行のエンプラ徒然
コミュニケーション
情報系システム最適化
モバイル
通信のゆくえを追う
セキュリティ
セキュリティの論点
ネットワークセキュリティ
スペシャル
座談会@ZDNet
Dr.津田のクラウドトップガン対談
CSIRT座談会--バンダイナムコや大成建設、DeNAに聞く
創造的破壊を--次世代SIer座談会
企業決算を追う
「SD-WAN」の現在
展望2017
IBM World of Watson
de:code
Sapphire Now
VMworld
Microsoft WPC
HPE Discover
Oracle OpenWorld
Dell EMC World
AWS re:Invent
PTC LiveWorx
古賀政純「Dockerがもたらすビジネス変革」
さとうなおきの「週刊Azureなう」
誰もが開発者になる時代 ~業務システム開発の現場を行く~
中国ビジネス四方山話
より賢く活用するためのOSS最新動向
「Windows 10」法人導入の手引き
Windows Server 2003サポート終了へ秒読み
米株式動向
実践ビッグデータ
日本株展望
ベトナムでビジネス
アジアのIT
10の事情
エンタープライズトレンド
クラウドと仮想化