Firewall 構築ガイド †
このガイドでは、保護するマシンの台数が、数台から数十台程度の Firewall をできるだけ安価に構築するための情報を提供します。
基礎知識 †
方式の違い †
Firewall の方式を3つに分類してみました。
- パケットフィルタ(静的ルール)
- IP パケットのヘッダ情報(アドレス、ポート、フラグ)で判断
- 処理は高速
- CPU、メモリ資源は少なくても良い
- 安全性は低い(以下の2方式に比べて)
- 処理状況は分かりにくい
- ルールはいつでも変更できる
- パケットフィルタ(ステートフル/動的ルール)
- IP パケットのヘッダ情報だけでなく、時間や履歴も判断(アプリケーション・レベルのデータまで判断できるものもある)
- 処理は中速
- CPU、メモリ資源は多少必要
- 安全性は中程度
- 処理状況はやや分かりにくい
- プロキシ/アプリケーション・ゲートウェイ
- IP アドレス、ポートとアプリケーション・レベルのデータで判断
- 処理は低速
- CPU、メモリ資源は必要
- 安全性は高い
- 処理状況は分かり易い
NAT + パケットフィルタは良く使われるようですが、使いこなすのは以外と大変です。
TCP/IP の知識も必要ですし、ちょっとしたミスで全く通信できなくなったり、 素通しになってしまったりします。
パケットフィルタを使うなら、簡単な設定にし、プロキシでカバーできないか検討しましょう。
プロキシは設定が割と簡単で効果的です。接続(使用)状況を確認し易いのもメリットの1つです。
しかし、プロキシはパケットの偽装などをブロックできません。
構成の違い †
装置の構成を分類してみました。
 | Firewall の基本構成 |
 | 公開サーバを DMZ に置く構成 |
 | 簡易 DMZ の構成 |
 | Personal firewall や Host-base firewall と呼ばれるもの |
市販品 †
外部から内部へのアクセスを許すかどうかで、必要なシステムが変わります。
安価な市販品は NAT + パケットフィルタですが、 外部から内部へのアクセスが必要ないなら、それで充分でしょう。
ただし、性能に注意!(ADSL の普及で高速なものも増えています)
WWW サーバが Firewall の外側に置けるかどうか検討しましょう。
会社ならレンタルサーバ、大学なら計算センターなどに代理サーバを 立ててもらいましょう。
フリーソフト †
FWTK はアプリケーション毎に個別にプログラムを設定する必要がありますが、管理者が認めた以外の通信はブロックできます。
SOCKS は万能プロキシです。1つのプログラムで多くのアプリケーションに対応できます。
複数の技術を組み合わせられるのがフリーソフトを使う利点です。
FreeBSD による構築例 †
実際にマシンを設定して実験してみました。
参考文献 †
諸々の情報 †