次のページ 前のページ 目次へ

2. ファイアウォールとは

ファイアウォール(防火壁)とはもともとは自動車業界の用語でした。車にとっ てのファイアウォールとは、エンジンと乗客を隔てる物理的な障壁でした。も し車のエンジンに火がついても、ファイアウォールが乗客を守り、ドライバは ファイアウォール越しにエンジンを制御することができました。

コンピュータの世界でのファイアウォールとは、プライベートなネットワーク を外部のネットワーク(一般的にはインターネット)から守るためのデバイスで す。

これ以降、ファイアウォールの役割を果しているコンピュータのホスト名を "firewall"とします。このホストは内部のプライベートなネット ワークとインターネットの双方に接続されていなければなりません。しかし、 内部のネットワークからインターネットへは直接接続できないし、インターネッ トからも内部のネットワークへ直接は接続できません。

内部のネットワークからインターネットに接続する場合、まず firewall に telnet で接続し、その後、firewall からインターネットに接続することにな ります。

ファイアウォールのもっとも簡単な形式はこのように 2 つのネットワークに 接続したマシンを設ける方法です。内部ネットワークのユーザの全てを信用し ているならば、2 つのネットワークに接続した Linux マシンをセットアップ して(IP forwarding/gatewaying は OFF にして!)、そこに全てのユーザのア カウントを作ればいいでしょう。内部のネットワークのユーザはこのマシンに ログインしてから telnet したり、FTP したり、メールを読んだり、等、あな たの設定した全てのサービスを亨受できるようになります。この設定では、内 部のネットワークにあるコンピュータのうち外の世界のことを知っているのは firewall だけです。内部ネットワークに接続した他のマシンではデフォルト ルートすら設定する必要はありません。

繰り返しますが、上記の設定のファイアウォールがうまく働くためには、内部 のユーザ全てがセキュリティに気を配り、自分のアカウントを安全に管理する 能力を持っていなければいけません。私はこの方法はお勧めしません。

2.1 ファイアウォールの種類

ファイアウォールには大きく分けて 2 つの種類があります。

  1. IP(フィルタリング)ファイアウォール: 指定したパケット以外の パケットを通過させません。
  2. プロキシサーバ: 専用のネットワーク接続を提供します。

IP フィルタリングファイアウォール

IP フィルタリングタイプのファイアウォールはパケットレベルで働きます。 この種のファイアウォールは、それぞれのパケットに登録されている送り元 のポートや宛先のポート、パケットの種類についての情報に基づいて、パケッ トの流れを制御します。

このタイプのファイアウォールはきわめて安全ですが、有益なログを取る機 能に欠けています。内部のプライベートなシステムにアクセスさせないことは 可能ですが、システムの公開している部分に誰がアクセスしてきたのか、とか、 内部のネットワークから誰がインターネットに接続したのか、という記録を取 ることができません。

フィルタリングタイプのファイアウォールは、いい意味でも悪い意味でも完璧 なフィルタです。外部の誰かに内部のプライベートなサービスを提供しようと 思っても、特定個人のみに使用許可を与えるようなことはできず、外部の誰も がアクセスできるように設定するしかありません。

この種のパケットフィルタリングの機能は 1.3.x 以降のカーネルに組みこま れています。

プロキシ(代理)サーバ

プロキシサーバはファイアウォール越しに間接的なインターネット接続を提供 します。いちばん分りやすい例は telnet の場合でしょう。プロキシサーバを 使えば、「いったんファイアウォールマシンにログインして、そこから再度外 部のマシンにアクセスする」という手順を自動的に行えるようになります。ク ライエントとなるソフトウェアがプロキシサーバに接続した場合、プロキシサー バは専用のクライエント(プロキシ)ソフトウェアを起動して、あなたが送ろう としているデータを目的地へ転送します。

プロキシサーバでは全てのやりとりを二重化しているので、それらの記録を 取ることも可能です。

プロキシサーバの利点は正しく設定すれば完全に安全なことです。プロキシ サーバは誰も自由に通過させず、直接 IP をルーティングしません。


次のページ 前のページ 目次へ