ファイアウォールの3つの構築方法を知ろう

ファイアウォールの3つの構築方法を知ろう

今回は、ファイアウォールの構築タイプについて紹介します。 ファイアウォールの構築タイプは、以下の3種類に分けられます。

IT業界まるわかりガイドは、日本初Web専門スクールのインターネット・アカデミーが運営する業界情報メディアです。最新の業界情報を、初心者にも分かりやすくご紹介しています。

目次

スクリーンホストとは

スクリーンホスト構成は、スクリーニングルーターと要塞ホストを統合したファイアウォールです。 要塞ホストとは、LANとインターネットとの接続を中継するホストのことです。

外部のインターネットから発信された通信は、 一度スクリーニングルーターを通ってパケットがフィルタリングされます。 その後、要塞ホストへと流れ、この要塞ホストで許可されたトラフィックのみが内部のコンピュータに到達します。

また、内部ネットワークからの発信は、 要塞ホストを通過してからスクリーニングルーターを通じ、外部に流れていきます。

この構成では、要塞ホストは外部に公開されており、攻撃にさらされています。 また、要塞ホストは内部コンピューターと容易に通信することができます。

つまり、外部の誰かが要塞ホストの攻撃に成功すると、 攻撃者は要塞ホストを足がかりとして内部コンピュータを攻撃することが可能になります。

スクリーンホスト構成は、ハニーポットとして使用されることがあります。 ハニーポットとは囮のことで、攻撃しやすそうな囮につられて攻撃して来た者を観察したり、 より重要なシステムを保護するために攻撃者の目をそらしたりする目的で使われます。

デュアルホームとは

デュアルホーム構成は、ネットワークインタフェースカードを2つ持ったシステムのことです。

信頼されていないネットワーク(インターネット)と 信頼されているネットワーク(内部ネットワーク)の間に設置されます。 一台のマシンですが、インターネット側に見せるインターフェース(ホームと呼ばれます)と、 内部ネットワークに見せるインターフェースの2つの仕様を持っています。

インターフェースとは、ネットワークの機能を使用するための呼び出し方法などの仕様のことです。 構成としては、まずインターネットから流れてきた通信は、 マシンがインターネット側に見せる顔(ネットワークインターフェース)を通過し、 中継ソフトを経て、内部ネットワーク側のインターフェースにより内部に伝達されます。

外部と内部でインターフェースが違うので、外からは内部が見えず、安全性が保たれます。

スクリーンサブネットとは

ファイアウォールの最も一般的な構成方法です。

スクリーンホスト構成を一段階進めた形で、 外部ネットワークと内部ネットワークとの間にサブネットを挟みます。 サブネットには要塞ホストが設置されるので、その点はスクリーンホスト構成と似ています。

しかし、攻撃者により要塞ホストが陥落しても、 サブネットの向こうの内部ネットワークにまで被害が及ぶことは阻止できます。

このサブネットをDMZ(De-Militarized Zone 非武装地帯)、あるいは境界ネットワークと呼んでいます。

パケットのフィルタリングについては、スクリーンホストと同様になりますが、 外部と内部の2重にフィルタが設置されることになります。

スクリーンホスト構成では、内部ネットワークから要塞ホストに対する攻撃があった場合は無防備でしたが、 スクリーンサブネット構成の場合、サブネットが設置されることで 内部からの攻撃にもある程度は防御できるようになります。

すなわち、内部ネットワークから要塞ホストへのパケットに対しても、フィルタリングが行われます。

これは、内部のコンピュータがトロイの木馬などのマルウエアに感染し、 要塞ホストに攻撃を仕掛けた場合に有効です。 スクリーンサブネット構造を構築するのは、他の構成に比べて手間がかかりますが、 その分強固なセキュリティが確保できます。