ファイアウォール(FWを経由させる方法etc..)を9秒で理解!

ファイアウォール 必ず経由 
2025.01.11

はじめに

哲学者トニーくん
哲学者トニーくん

【9秒チャレンジ】
ファイアウォール(FW)とは、内部ネットワークを外部から守るものです。外部からのアクセスは、FWを経由させるようにします。やり方は、内部ネットワークにあるサービスのIPアドレスをすべてFWのIPアドレスとしてDNSにDNS登録します。そして、FWに送られてきたものは、ポート番号から識別して対応のサーバに割り振ります。また、ACL(アクセス制御リスト)で不正な通信やNGなポート番号を遮断し、安全を確保することもできます。

更に詳しく知りたい場合↓

ファイアウォールの基本概念

ファイアウォールとは、ネットワークのセキュリティデバイスで、外部のネットワーク(インターネットなど)と内部ネットワーク(企業内ネットワーク)との間に配置され、不正アクセスを防ぐ役割を果たします。主に2つのタイプがあります:

  1. ハードウェア型ファイアウォール: 専用の機器として設置される。
  2. ソフトウェア型ファイアウォール: サーバやPCにインストールされるソフトウェア。
哲学者トニーくん
哲学者トニーくん

ファイアウォールとは内部ネットワークを外部から守ってくれるソフトウェア、またはハードウェアのこと。

ファイアウォールの主な機能

1.パケットフィルタリング

  • パケット(データの塊)をチェックして、許可されたものだけ通す仕組みです。これには、送信元IPアドレスやポート番号、プロトコルなどの条件でフィルタリングを行います。
  • : 外部からのHTTPリクエスト(ポート80)が許可されて、FTPリクエスト(ポート21)は拒否される。

2.NAT(ネットワークアドレス変換)

  • 内部ネットワークのIPアドレスを隠して、外部からのリクエストに対して一つのIPアドレスで応答する技術です。これにより、内部ネットワークが外部に直接露出することを防ぎます。
  • : 複数の内部PCがインターネットにアクセスする際、外部からはファイアウォールのIPアドレスが見えるだけで、内部のIPアドレスは隠されます。
哲学者トニーくん
哲学者トニーくん

例えば、DNSにはWebサーバのIPアドレスとしてファイアウォールを設定させます。そうすると、外部からのWebサーバアクセスは必ずファイアウォールをとおるようになります。で、内部へのルーティングは、ポート番号があることで、その番号が80(http)または443(https)だったら、ファイアウォールから内部Webサーバにルーティングさせればいいのです!

3.プロキシ機能(リバースプロキシ)

  • 外部クライアントが内部サーバにアクセスする場合、ファイアウォールがそのリクエストを一旦受け取って、適切な内部サーバに転送する役割を果たします。
  • : Webサーバにアクセスする際、外部クライアントはファイアウォールを経由してアクセスします。

4.アクセス制御リスト(ACL)

  • ネットワーク内でアクセスできるかどうかを制御するリストを使って、通信を許可したり拒否したりします。
  • : 「IPアドレスAからの通信は許可」「ポート80へのアクセスは許可」など。

    ファイアウォールの配置方法

    ファイアウォールは、ネットワーク内で重要な役割を担います。以下のような配置が一般的です:

    1.外部向けファイアウォール

    • インターネットと企業内ネットワークの間に配置し、外部からの不正アクセスを防ぎます。
    • DMZ(非武装地帯): ファイアウォールの前にWebサーバやメールサーバなどのサービスを配置し、インターネットとの接続を管理します。

    2.内部向けファイアウォール

    • 内部ネットワークのセキュリティを強化するために、内部の各部門やサーバ群を隔離することがあります。

    3.DMZ(非武装地帯)

    • インターネットからアクセスされる必要があるサービス(Webサーバ、メールサーバなど)をファイアウォールの外側、つまりDMZに配置し、内部ネットワークとは別に保護します。

      DNSとファイアウォール

      • クライアントが企業内部ネットワークのサービスにアクセスする場合、まずDNS(ドメイン名システム)でIPアドレスを取得します。ファイアウォールを適切に設定することで、DNSサーバの応答にファイアウォールのIPアドレスを使うことができ、必ずファイアウォールを経由してアクセスされるようにできます。

      ポート番号を利用したサービスの管理

      • 企業内部には複数のサービス(Webサーバ、FTPサーバ、メールサーバなど)がある場合、ポート番号を使ってサービスを識別します。
      • :
        • Webサーバはポート80(HTTP)、ポート443(HTTPS)
        • メールサーバはポート25(SMTP)、ポート143(IMAP)
        • FTPサーバはポート21
      • ファイアウォールは、外部からのリクエストをポート番号で識別し、それに基づいて適切な内部サーバに転送します。

      まとめ

      ファイアウォールは、外部からの不正アクセスを防ぎ、内部ネットワークを守るための重要なセキュリティ機器です。以下のポイントが特に重要です:

      1. パケットフィルタリング: 通信の許可/拒否を行う。
      2. NAT(ネットワークアドレス変換): 内部IPを隠す。
      3. リバースプロキシ: 外部からのリクエストを内部サーバに転送。
      4. サービスの管理: ポート番号でサービスを識別し、適切な内部サーバにリクエストを振り分ける。

      タイトルとURLをコピーしました