Firewall 構築ガイド

このガイドでは、保護するマシンの台数が、数台から数十台程度の Firewall をできるだけ安価に構築するための情報を提供します。

基礎知識

方式の違い

Firewall の方式を3つに分類してみました。

  • パケットフィルタ(静的ルール)
    • IP パケットのヘッダ情報(アドレス、ポート、フラグ)で判断
    • 処理は高速
    • CPU、メモリ資源は少なくても良い
    • 安全性は低い(以下の2方式に比べて)
    • 処理状況は分かりにくい
    • ルールはいつでも変更できる
  • パケットフィルタ(ステートフル/動的ルール)
    • IP パケットのヘッダ情報だけでなく、時間や履歴も判断(アプリケーション・レベルのデータまで判断できるものもある)
    • 処理は中速
    • CPU、メモリ資源は多少必要
    • 安全性は中程度
    • 処理状況はやや分かりにくい
  • プロキシ/アプリケーション・ゲートウェイ
    • IP アドレス、ポートとアプリケーション・レベルのデータで判断
    • 処理は低速
    • CPU、メモリ資源は必要
    • 安全性は高い
    • 処理状況は分かり易い

NAT + パケットフィルタは良く使われるようですが、使いこなすのは以外と大変です。
TCP/IP の知識も必要ですし、ちょっとしたミスで全く通信できなくなったり、 素通しになってしまったりします。
パケットフィルタを使うなら、簡単な設定にし、プロキシでカバーできないか検討しましょう。

プロキシは設定が割と簡単で効果的です。接続(使用)状況を確認し易いのもメリットの1つです。
しかし、プロキシはパケットの偽装などをブロックできません。

構成の違い

装置の構成を分類してみました。

fw-type1.gifFirewall の基本構成
fw-type2.gif公開サーバを DMZ に置く構成
fw-type3.gif簡易 DMZ の構成
fw-type4.gifPersonal firewall や Host-base firewall と呼ばれるもの

市販品

外部から内部へのアクセスを許すかどうかで、必要なシステムが変わります。
安価な市販品は NAT + パケットフィルタですが、 外部から内部へのアクセスが必要ないなら、それで充分でしょう。
ただし、性能に注意!(ADSL の普及で高速なものも増えています)

WWW サーバが Firewall の外側に置けるかどうか検討しましょう。
会社ならレンタルサーバ、大学なら計算センターなどに代理サーバを 立ててもらいましょう。

  • メーカ及び取り扱い業者

フリーソフト

m0n0wall,pfSense で bridge を構成するには NIC が3枚必要なようです。
FWTK はアプリケーション毎に個別にプログラムを設定する必要がありますが、管理者が認めた以外の通信はブロックできます。
SOCKS は万能プロキシです。1つのプログラムで多くのアプリケーションに対応できます。

VPN は正しく使えばとても便利ですね。

FreeBSD による構築例

実際にマシンを設定して実験してみました(古い情報です)。

参考文献

諸々の情報


添付ファイル: filenew.gif 2019件 [詳細]
filefw-type4.gif 3428件 [詳細]
filefw-type3.gif 4134件 [詳細]
filefw-type1.gif 3772件 [詳細]
filefw-type2.gif 4143件 [詳細]

トップ   編集 凍結 差分 バックアップ 添付 複製 名前変更 リロード   新規 一覧 単語検索 最終更新   ヘルプ   最終更新のRSS
Last-modified: 2013-09-17 (火) 11:05:00 (1174d)