ファイヤーウォールとプロキシ

ボックス・ユニット型のファイヤーウォール（FW）製品には、プロキシ機能が付いているものがありますが、ＦＷとプロキシを同じ機器で動かすのは、セキュリティ上は安全なのでしょうか？　
一般に、UNIXマシンでＦＷやプロキシを動かす場合、それぞれで別々のマシンを用意するようですが…。それは、ＯＳ等にセキュリティ・ホールが多いため？？

No.2 ベストアンサー 回答者： ken2 回答日時： 2002/02/15 06:07

ここでいうボックス・ユニット型のファイアーウォールが何を示すのかは微妙なところですが、FWもPROXYも機能の名前ですので、同じ筐体で動かすのか別の筐体で動かすのかは、セキュリティ上の問題ではないと思います。

どちらかというとパフォーマンスの問題が多いと思います。後は、予算とサイトのポリシーです。
マシンを別にすれば、セキュリティ管理をするホストが増えるだけです。しかし、マシンを少なくすれば、破られたときにほかに守るものがなくなるとか接続するための補助のホストがなくなるとか、将来的なパフォーマンスの夜湯がなくなるとかという問題が発生する可能性がある。等、いろいろありますが、実際には、パフォーマンスと予算の問題が一番大きいのだろうと思います。
決して1台だとセキュリティに問題が発生するというものではありません。きちんと管理していれば、1台でも十分です。複数台あっても管理されていなければ、踏み台になるホストが増えるだけです。
基本的にボックス・ユニット型のファイヤーウォール（FW）製品は、ベンダーがセキュリティ対策をおこなうようになっているので、きちんと保守してくれるところに頼むしかありません。また、きちんとできないところのものを購入してはいけません。保守契約をケチることもいけません。

この回答へのお礼

ご指摘ありがとうございます。参考にさせていただきます。

お礼日時：2002/02/15 09:37

No.1 回答者： Haizy 回答日時： 2002/02/14 17:49

こんにちは。

とっても、個人的な見解が入るんですが、回答します。

ボックスとかって、ルーティングが、ソフトですよね？Ｌｉｎｕｘとか・・・
【セキュリティ上、好ましくは無いと思います。】

★セキュリティホールは、ＯＳに限りませんよ。
例えば、昨日ＳＮＭＰの実装に問題があることが明らかにされました（痛）。
【興味あるなら↓どうぞ】
http://itpro.nikkeibp.co.jp/free/ITPro/NEWS/2002 …

このように負荷の分散とともにリスクの分散も行う為に別のマシンにしていると思いますよ。さらに、セキュリティの設計段階でも、マシン（ＩＰアドレス）を変えた方が設計しやすく、柔軟な対策が取れるようになります。


●同じＩＰ？
ル－タ｜－－｜ＦＷ｜－－｜ＰＲＯＸＹ｜
というのが、いわゆる「良くあるパターン」だと思います。
　ＦＷの外と中でＩＰアドレスの体系を替える事で、侵入が少しだけ難しくなります。一体になっていると、これができるのでしょうか？
一体型で、ブロードキャストドメイン（論理的に同じネットワークに存在192.168.1.*同士だったりとか・・・）であったり、同じＩＰなんて場合は、もう最悪ですよね。

●物理接続は？
物理的に一緒になっていて、内部でこれと同じ接続形態が得られるなら良いのですが、
ル－タ｜－－｜ＦＷ｜
￣￣￣L－－｜ＰＲＯＸＹ｜
のようにＦＷを経由しないで、ＰＲＯＸＹが接続しされてしまうと、そこに大穴ができますよね。ルータのルーティングで透過されてきた、パケットなどはある程度、ファイアウォールで何とかします。が、これではだめですよね。最悪パターン。

●「物理的に一台のＣＰＵ」であると危険であるということ。
複合的な脆弱性や、他のプロセスの脆弱性の「とばっちり」を食わないのか？
など、不安要素は、たくさん・・・。

なんでも、「集中」させればよいというものではないと思います。
特にセキュリティでは。その分、管理は大変なんですがね（＾＾；

ボクの思考のレベルでは、まだまだ甘いかもしれませんが・・。
でわ

この回答へのお礼

ありがとうございました。参考にさせていただきます。

お礼日時：2002/02/15 09:35