ファイアーウォール

Webサーバーを構築しようと考えています。
セキュリティーには、ほとんど素人です。
そこで、ファイアーウォールを何にするか考えています。
Sonicwallより、いい物を購入したいのですが。
何がどの様にいいのかがわかりません。
どなたか教えてください。

No.5 ベストアンサー 回答者： kusukusu 回答日時： 2001/04/18 11:06

おはようございます。

やっと、構成が分かりました。
他の方の意見も欲しいのですが、私の意見で言えば
全く意味がないと思います。

話を単純にするため、現在の構成ではポート25,110
以外を解放していないとします。

＃DNSやsshなどは動いていないと仮定すると言うことです。

外部からの進入だけを考えた場合、現在ではSonicによって、25,110以外ははじかれます。
同様に、LANのセキュリティレベルも同じになります。

また新たなサービス（今回はhttpdですね）を追加すると言うことは、
基本的にセキュリティレベルは下がると言うことです。
当然、WEBサーバーを外部に公開するには、その通り道の全ての機器の80を解放しなくてはなりません。
故に、Sonicも80を解放することになります。

予定構成では、NFWはWEBサーバーのみを保護することになります。
NFWが無い場合WEBサーバーもSonicのセキュリティレベルと同様になります。
つまり、25,80,110を解放していることになります。
NFWをその位置に導入する理由として、WEBサーバーによけいな穴をあけたくない（25,100をつぶしたい）と言うのであれば、意味が分かりますが、それにどれほどの理由があるのかは私には分かりません。
単純にサーバー側で塞げば終わりというような気がします。

そこで、どうしてもNFWを入れたいのであれば、以下のようにしてはいかがでしょうか？

router
|
Sonic
|
WEB,Mail
|
NFW
|
LAN

これであれば、NFWを導入する意味合いが分かります。
グローバル（WEB,mail）とローカル（LAN）のセキュリティレベルを分け、立派にＤＭＺにグローバルサーバーをおくことになると思います。

ただ！なぜこれを強くお勧めしないかというと、最近のルータであれば、わざわざＦＷ専用機を導入しなくても、かなりのセキュリティレベルを維持することができると思うからです。

無駄な投資をせずに
＃デフレの今、是非買いましょう！と言った方がいいのでしょうが(^^;
現在ある物で、強化してみてはいかがでしょうか？

最後にＦＷは専用機でなければいけないと言うわけではありません。
もし、現在は利用していない古いマシン
（ペンティアム１００程度で十分です）
があれば、それにPC-UXIXを入れて、設定すれば、専用機と比べても劣らないような立派なＦＷができます。

もし時間があれば、勉強してみてください。
それでは

この回答へのお礼

すいません。ありがとうございます。
上司の話し合いもう一度考え直してみます。
また、伺うかもしれませんが、よろしくお願いいたします。

お礼日時：2001/04/18 16:58

No.4 回答者： kusukusu 回答日時： 2001/04/17 16:49

ちょっとまとめてみます。

まず、mailサーバーですが
mailサーバーの前には、Sonicのみがある
＃ルータは抜きです
続いて、webサーバーは

Sonic--NewFireWall--web
と言う形になる。
と言うことですね？

単純な話ですが、webサーバーにアクセスするには
SonicとNFW(NewFireWall)を通過しないいけないですよね？
と言うことは、Sonicもポート８０番は解放しなければなりません。
同様にメールサーバーがくっついていますから、ポート２５、１１０を解放します。
で、１つお聞きしたいのが、webサーバーの25,110を解放することに、どれだけ問題があるのでしょうか？
LANは結局のところ、Sonicしか通過してないわけですから、Sonicのセキュリティレベル＝LANのセキュリティレベルと言うことになりますよね？
で、NFWは、webサーバーのみのセキュリティを高める事になると思いますが、どのような意図でそうされたいのでしょうか？
例えば、webサーバーをメールサーバーと同じセグメント上につけ、Sonicのポート25,80,110を解放するのが問題である理由が分かりません。
どうしても、webサーバーの25,110を解放したくないと言う理由があればいいですが、そうでない限り無意味ではないかと思います。

本末転倒な話になるかもしれませんが、NFWは必要ないのではないでしょうか？
もしその必要性があれば、申し訳ありませんが、逆に後学のためその理由をご教授下さい。

この回答への補足

すいません。何度もごめんなさい。

頭の中をまとめてみました。

形として、

　　router
　　　|
　　　|
　Sonic--Mail
　　　|
　　 |--NewFireWall--Web
　 　 |
　　 LAN

という、形をとろうと考えています。
話がコロコロ変わってしまってすいません。
上との話がかみ合っていませんでした。

この場合でもLANからしてみれば、
Sonicwallのみのセキュリティしかかかっていません。
ですが、外からWebサーバーを通ってLANへ入る事は防げるのでは？
ないでしょうか？
すいません。セキュリティに関して、
ど素人です。
現在のSonicwallでは、Webサーバーを立てるほどの
セキュリティを掛けていませんでした。

上の方からもっとセキュリティの高いものを
設置するように言われ探している所なのです。
これって、無意味ですか？
勉強はしているつもりなのですが、
勉強不足です。すいません

補足日時：2001/04/18 09:45

No.3 回答者： kusukusu 回答日時： 2001/04/17 11:38

こんにちは

まだ、ちょっと構成がよく掴めていないのですが、

現在

router
　　 |
　　|
Sonic--Mail
　　|
　　|
LAN

予定

router
　　|
　　|
Sonic--Mail
　　 |
　　 |
NewFireWall--Web
　　 |
　　 |
LAN

と、こんな風に直列に並べたいと言うことですか？
しかしこれでは
>現在のファイアーウォールの前にWebサーバー用のファ
>イアーウォールを 設置するつもりです。
これを満たしませんね(^^;

予定２

router
　　|
　　 |
NewFireWall--Sonic--|--mail
　　 |　　　　 　　　　　　　|--Web
　　 |
LAN

って、事ですか？
どちらもあまり意味がないような気がするが・・・
すいません。
ちょっとおっしゃりたい意図が掴めません。
もうちょっと補足してください

この回答への補足

すいません。
この様な形をとりたいのですが？
これって、全然意味がないのでしょうか？



router
　　|
　　 |
Sonic-----------mail
　　 |　　　|　 　　　　　　　
　　 | newfirewall
LAN |
Web

補足日時：2001/04/17 16:01

No.2 回答者： ryouchi 回答日時： 2001/04/16 20:32

あと、構築するWebサーバのOSなどによっても、セキュリティの対策方法が違ってくるかと思います。

Linuxや、UNIXなどの系列と、WindowsNTなどでは、もちろん実装形態も違うでしょうし、Internetに直接接続するのか、上部のルータなどである程度IPフィルタリングや、ポートのフィルタリングをすることによっても相違があるかと思います。
もう少し具体的に状況を教えていただければ、なんらかのよい解決方法がみつかるかと思います。

この回答への補足

すいません。説明不足でした。。
OSはWindows２０００を考えています。
DMZ上に立てるつもりですが、
LANからは、SMTPしか通すつもりがないので。
（DMZ上には、メールサーバーもある。そこでのファイアーウォールが現在
SonicWALLです。）
現在のファイアーウォールの前にWebサーバー用のファイアーウォールを
設置するつもりです。
ですので、Webサーバーは、ファイアーウォールの２重化になる予定です。
ちなみに、上部ルータもあります。

補足日時：2001/04/17 10:34

No.1 回答者： kusukusu 回答日時： 2001/04/16 18:04

こんにちは、くすくすです。

まずは、どのような構成でするおつもりでしょうか？
ＯＣＮエコノミーですか？
それとも、大企業の専用回線を使ったサーバーですか？
または、個人のＡＤＳＬ等を使った、ＩＰアドレスでアクセスするようなwebサーバーですか？

それらによって、全然違ってくると思います。

＃個人用に、何百万もするような物を勧めても・・・

また、どのくらいの予算をかけるおつもりでしょうか？

この回答への補足

構成は、上記の方に補足として記載させていただきました。
個人用ではないのですが
学校のWebサーバーとしてwebサーバーを構築いたします。

補足日時：2001/04/17 10:37