[site logo]
[count]
2007年4月10日 更新

ファイアーウォール


ファイアーウォール
 LANと外部との通信を遮断するためのハードウェアやソフトウェアの総称。許可の無いアクセスを禁止したり、内部データが外部に漏れるのを防ぐのが目的。通常は、ルータやプロキシサーバなどを組み合わせて設置します。
 単語の本来の意味は防火壁。

ファイアーウォールって何?

 侵入を防ぐために、ファイアーウォールというのを設置するという話は、雑誌に書いてあったり、友人から話を聞いたことがあると思いますが、じゃあ、いったい何をすればいいの?というのはなかなか判らないものです。ここでは、ファイアーウォールの概要について説明します。

 ファイアーウォールには色んな種類があります。ルータパケットフィルタNATNAPT(IPマスカレード)プロキシサーバ、メール添付ウイルスチェッカー、などは、すべてファイアーウォールの一種です。また、これらのうちのいくつかをセットにした物に「○○○ファイアーウォール」という商品名を付けて売っていたりもします。

 ファイアーウォールは、駅の自動改札機を想像してもらうとわかりやすいと思います。切符を持ってない人は通さないけれど、ちゃんと切符を持っている人はスムーズに通れるわけです。この切符に相当する物として何を使うかによって、いろんな種類のファイアーウォールがある、と考えるといいでしょう。

 ファイアーウォールも、家の鍵と同じで「1ドア2ロック」にします。たとえば、1段目をパケットフィルタにして、2段目にプロキシサーバを使うわけです。厳重に鍵をかけるなら、3段目のファイアーウォールを使うことも多いです。

 具体的な設置方法などについては、執筆予定です。


ファイアーウォール関連ネットワーク機器

 以下は、ファイアーウォールやそれに関連したネットワーク機能や機器です。これらはすべて、ハードウェア製品もコンピュータ用ソフトウェアも販売されています。というより、元々はソフトウェアが先に開発されて、大量に使われるようになったので、ハードウェア製品も販売されていると思えば間違いないです。

ルータ
 IPアドレスによりデータ転送先を選択する、IPパケットの交通整理役。ルータは、LANとLAN、LANとWAN、など、複数のネットワークの境界線上に置いて、余分なデータが相手方に届かないようにせき止めます。
 ルータはコリジョンドメインを分離します。
 1台のコンピュータに2枚のLANカードを挿して、その間のデータの通過を制御したのが始まり。現在はルータ専用機が多数販売されていますが、当然、ソフトウェア製品もあります。
ダイヤルアップルータ
 ルータのうち、接続先が電話回線等を使って、必要に応じて接続するタイプのものを言います。
 以前、ISDNでインターネット接続用のダイヤルアップルータが余りにも売れたため、単にルータと略して呼ぶ人も多いのですが、これは間違いです。
 なお、ISDN用インターネット接続用ダイヤルアップルータは、ルータとしての機能以外に、IPマスカレードDHCPプロキシサーバパケットフィルタ、ハブ、ISDN DSU、ISDN アナログ TAなどの機能がぎっしり詰まった複合機器です。細かな設定すべてを理解するのは非常に大変なことです。
ローカルルータ
 ルータのうち、LANとLANを繋ぐタイプを言います。
 本来、ルータと言えば、このタイプしか無かったのですが、ダイヤルアップルータをルータと略する人が増えすぎたため、区別するためにこの名前が付きました。
ブロードバンドルータ
 片側がLAN、片側がWANで、グローバルIPアドレスが1個しか割り当てられない使用目的に特化されたローカルルータ。通常、WAN側にADSLモデムやCATVモデム等のブロードバンドモデムを繋ぐことが多いため、このように呼ばれます。業務として通信にかかわっている人を除けば、このタイプのルータしか触れることが無いため、ルータと言えばブロードバンドルータを指すことが多いです。
パケットフィルタ
 特定の条件に合ったIPパケットだけを通すルータの機能のこと。ハードウェア製品としてのローカルルータは、この機能の専用機です。現在のルータは、IPアドレスとTCPやUDPのポート番号などのヘッダ情報を見て、パケット転送のルールを細かく指定できるタイプしか売ってないため、すべてのルータはパケットフィルタとして使用できますが、安価なものは設定できるルールに制限があります。
 最も基本的なファイアーウォールとして使われるため、ファイアウォールとはパケットフィルタのことだと誤解している人も多い。
PROXYサーバ (プロキシサーバ、代理サーバ)
 セキュリティを確保するために、特定のプロトコル以外はルータを通さないように設定することは非常に多いです。しかし、ルータで中継されてないプロトコルでは通信が出来ません。そのため、特定のプロトコルに限定した中継ソフトウェアが考えられました。本来のクライアントの要求を捕まえて、代理でアクセスして、アクセス結果を中継して返すプログラムのため、代理サーバと呼ばれます。
 クライアントが直接サーバに接続するのではなく、代理サーバが取得した結果に繋ぐことになり、クライアントとサーバとの直通回線は存在しません。そのため、非常に強力なファイアーウォールとして機能します。
 しかし、プロキシサーバを使うには、クライアントソフトウェア(Internet Explorer や Netscape、ftpクライアント、メールソフト等々)にプロキシサーバを使う設定を行う必要があります。そのため、小規模LANをインターネットに繋ぐ場合には、あまり使われませんでした。
 プロキシサーバは、http, ftp, telnet, smtp, ... など、プロトコルごとにサポートする機能が違うため、プロトコルごとに別々に作成されています。そのため、必要なプロトコル用のプロキシサーバだけを使用可能にします。
 なお、http用のプロキシサーバは、転送したデータをキャッシュする機能を持たせる事が多いです。プロキシサーバがインターネット上のキャッシュみたいなものだという誤解は、このせいで広まりました。
ゲートウェイ
 LAN、WANなどのネットワークの境界に置いて、データの交通整理をする機器の一般名称。通常はルータを使います。ブリッジルータプロキシサーバファイアーウォールなどは、すべてゲートウェイです。
NAT (Network Address Transfer)
 2つのネットワークを繋ぐ時に、片側のIPアドレスをもう片方のIPアドレス規則に合うように変換する機能。そのような機能を持ったゲートウェイのことをNAT箱と通称しています。
 主として、LANとインターネットの境界に置いて、プライベートIPアドレスをグローバルIPアドレスに変換するために使用します。
 NATは、一方のIPアドレスをもう一方のIPアドレスに1対1で変換するため、十分な数のIPアドレスが必要となります。そのため、通常はプロキシサーバと併用して、同時に必要なIPアドレスの数を減らすようにします。
 今は、NATを使うことは非常に少なくなりました。大抵の場合は、ポート番号を固定したNAPTを使用します。
IPマスカレード (IP Masquerade, NAPT:Network Address Port Translation)
 2つのネットワークを繋ぐ時に、片側のIPアドレスとポート番号をもう片方のIPアドレス規則に合うように変換する機能。
 主として、LANとインターネットの境界に置いて、プライベートIPアドレスをグローバルIPアドレスに変換するために使用します。
 NATとは違い、TCPやUDPのポート番号も変換します。そのため、ポート番号が特定の値を要求するサービスは利用できないことがあります。
DMZ (De Militarized Zone, 非武装地帯)
 外部からのアクセスを許すサーバは、常に外部からの攻撃にさらされています。そのため、それらのサーバが侵入を受けた場合にも内部ネットワークへの侵入を難しくするため、外向けサーバを特定ネットワークに閉じ込めるように構成します。この部分を非武装地帯(DMZ)と呼んでいます。

 通常は、インターネット ⇔ 第1ファイアーウォール ⇔ 非武装地帯 ⇔ 第2ファイアーウォール ⇔ 内部ネットワーク、のような構成を取ることが多いです。非武装地帯には、外部からアクセスのあるウェブサーバ、DNSサーバ、メールサーバの3つ(場合によってはftpサーバ等も)を置きます。これらのサーバは、大量の攻撃を受けて侵入されることを前提に、監視体制を整えます。
 ブロードバンドルータに搭載されているDMZ機能というのは、非常に危険な機能です。機種によって多少の差はありますが、外部からの通信を特定の1台にすべて転送する機能をDMZ機能と呼んでいます。つまり、DMZに指定された機器は、外部から攻撃され放題ということになります。そういう機器を一般機器とおなじLANに設置する危険度は非常に大きなものになります。

 本来の非武装地帯というのは、国境などにおいて、すぐには侵略しないという意思表示と、監視のしやすさを目的に、お互いに武装しない地域を設けているというものです。そのため、真っ先に侵略を受ける部分であり、最前線の防衛ラインとして十分な監視体制と武装を横に置くのが普通です。
 しかし、日本語の「非武装地帯」という語感に惑わされて、防衛力を強化しない人がかなりいます。通信における非武装地帯は、「最強武装であるアクセス拒否」を行っていない、厳重に武装する必要がある区域のことです。

用語辞典の索引   ネットワークのお話 のトップに戻る

Copyright (C) 2001-2007 Ryu1 All rights Reserved.