ファイアウォール構築におけるスクリーンホストとデュアルホームの違い

ファイアウォール構築におけるスクリーンホストとデュアルホームの違い

今回は、ファイアウォールの構築タイプの1つであるスクリーンホスト構造と、 デュアルホーム構造の違いについて見ていきましょう。

IT業界まるわかりガイドは、日本初Web専門スクールのインターネット・アカデミーが運営する業界情報メディアです。最新の業界情報を、初心者にも分かりやすくご紹介しています。

目次

スクリーンホストの特徴

スクリーンホスト構造でもっとも重要となるのが、 要塞ホスト(bastion host)と呼ばれる中核コンピュータの存在です。

要塞ホストは内部ネットワークと外部ネットワークとの中継地点に置かれ、 全ての通信は一度要塞ホストを通過します。

要塞ホストは、外部との中継点となり、外部からはこのホストが通信を行っているように見えます。 従って、要塞ホストは外部からの攻撃にさらされることになるため、厳重なセキュリティを施すことが大切です。

スクリーンホスト構造の場合、外部からの通信は一度ルーターを通ってパケットのフィルタリングが行われます。 外部に公開されるのは専用のサーバーだけとなり、それ以外の外部からのパケットは遮断されます。

一方、内部ネットワークから外部ネットワークへの通信は、ごく限られたものに限定します。 そうすることで安全性を維持します。

現在、ルーターには、プライベートIPアドレスとグローバルIPアドレスを変換する NAT(IP Network Address Translator)やIPマスカレードという機能が搭載されている場合がほとんどです。 マスカレードというのは、仮装や変装などの意味であり、 これらの機能は内部のネットワークが直接外部にさらされるのを防ぐフィルタリングの役目を果たします。

スクリーンホスト構造の欠点は、いったん要塞ホストが外部からの攻撃に陥落してしまったら、 攻撃者は内部ネットワークに自由にアクセスできてしまうと言うことです。 また、内部ネットワークが万が一マルウェアに感染し、要塞ホストに攻撃を行った場合、 内部からの攻撃に対してはほとんど無防備となり、やられてしまうという問題があります。

デュアルホームの特徴

デュアルホーム構造においても、通信が1台のコンピュータを通して行われる点においては同じです。 しかし、内部と外部のパケットがコンピュータ内で完全に一度遮断されることにその違いがあります。

デュアルホーム構造においては、多くの場合は、 コンピュータに2枚のネットワークインターフェースカードを差し込みます。

インターフェスカードというのは、ネットワークと機器を繋ぐためのコネクタのことだと思ってください。 2枚のカードをインストールした後、一方を外部に接続しているIPルーターに、 もう片方を内部のネットワークセグメントに繋ぎます。 2つの顔をもつ、ということから、デュアル(2つの)ホームと呼ばれています。

この構造においては、コンピュータは 外部ネットワークと内部ネットワークを繋ぐルーターのような役割を果たします。 しかし、厳密にいうとこのコンピュータは通信を直接やりとりするわけではありません。

つまり、ルーティングは行われず、 外部と内部の通信はコンピュータ内部のプロキシ(代理)を経由することで間接的に行われるのです。

外部からやってきたIPパケットは直接は内部ネットワークに入ることはないため、 外部からの攻撃から内部ネットワークを保護することができます。

デュアルホーム構造においても、 攻撃からの防御の砦となるのが1台のコンピュータであることには変わりありません。

従って、このホストコンピュータが攻撃されて陥落し、 rootアカウントが乗っ取られると、内部ネットワークの防御が全くできなくなってしまいます。

スクリーンホストとデュアルホームの違い

まとめると、スクリーンホスト構造とデュアルホーム構造では 関所となる一台のコンピュータが存在する点では共通しています。

しかし、内部ネットワークと外部ネットワークの通信が限定的ながらも直接やりとりされるか、 それともいったん完全に遮断されてプロキシを経由するかにその違いがあるといえます。

コスト面を抑えたい場合はスクリーンホスト構造が良く、 より堅牢なセキュリティを構築したい場合はデュアルホーム構造が良いでしょう。