ファイアウォールの前にあるルーターの意味は？

組織のネットワーク構成を見直す必要があり、色々勉強しています。

その時、色々なサイトにあるファイアウォールの構成をみると、インタ
ーネットとファイアウォールの間に、ルーターを配置した図をよく見る
のですが、ルーターを置く意味はどんな事があるのでしょうか？

ファイアウォールがルーターの機能ももっていると思うので、ルーター
なしで、直に接続しても良いような気がしています。
（そうすれば、機器のお金が浮きますし。。）

ご教授よろしくお願いいたします。

No.5 ベストアンサー 回答者： Toshi0230 回答日時： 2011/04/27 23:58

正直なところ、ネットワーク構成も機器構成も判らないので何ともいえない、というのが正直なところです。

ただ、ファイアウォールの前（インターネット側）にルータを置く理由として考えられるのは：
・機能上の制限によるもの
　→例えば、インターネットに接続するのにPPPoEが必要だがファイアウォールがPPPoEをしゃべれない、等
・パフォーマンス上の要求によるもの
　→拠点間接続用のVPNルータなど、ファイアウォールで防ぐ必要性が低い装置をファイアウォールに介さずに接続したい、等
　　No.1, No.2の回答はこれになるかと。
・契約上の要求によるもの
　→特定のサービスを受けるためにそのような構成になっている、等
・前例を踏襲しているため
　→以前、何らかの理由で組んだ構成を、機器更新後も「ネットワーク構成変更の理由がない」としてそのまま従来の構成できている、等

もし前任者がいるのであれば、その人に意図を聞くのが一番手っ取り早いです。

No.6 回答者： gurabonanmin 回答日時： 2011/10/15 20:55

業務用ネットワークではよくある話なのですが、回線が複数ＩＰ契約(8IPとか16IPとか）になっている時に、その接続にファイアウォールが対応していないということがあります。

例えば、NetScreenだと、自分のＩＰアドレスをネットワークアドレスで持ってしまったり…。
なので、慣習的にルータの前にファイアウォールを設置する、ということがあるみたいです。

No.4 回答者： sholmes 回答日時： 2011/04/27 23:53

◆回答

>その時、色々なサイトにあるファイアウォールの構成をみると、インタ
>ーネットとファイアウォールの間に、ルーターを配置した図をよく見る
>のですが、ルーターを置く意味はどんな事があるのでしょうか？


上記に絞って回答します。

＜1＞
一番可能性がありそうなのは、御覧になっている構成図があくまで機能的なイメージ構成図であるという事です。
機能別で考えるとFWとRTは別物なので、分けて書いておこう。
実際の構築で何を選定するか、1台でまとめるか等は別に考えよう
・・・というだけの話ですね、これに難しいところはありません。

＜2＞
次に、ハードウェア的にも分割の意図で記載していると仮定し、そのメリットは何かと考えてみます。
まず思い浮かぶのは、DMZの実現です。
殆どの企業は、自社のサイトを公開していますよね？
このサイトから一般他者へはアクセス可能とする必要があるものの、サイトから社内へ向かうアクセスはメンテナンス時の戻り通信のみにしたいというのがよくある「やりたい事」になります。
この時公開サーバーよりも社内側にFWを設置する事で、公開サーバーが踏み台となってのセキュリティリスクを軽減する事が可能です。

とはいえこれも、実際の案件に於いては外部ISPと公開サーバーの間にもある程度のFWを介すケースや、
1台の機器（Netscreen等が有名です）でその辺を全部振り分けようという構成が多いと思います。

＜3＞
他には、機能分割の意味合いがあるでしょうか
現在のルーターは、異なるプロトコルを話せるような強みを感じられる場所で選定される事が多いと感じます。
IPネットワークの別セグメント同士をくっつけるだけであれば、L3スイッチで大体賄えてしまいますので。
ISPが提供している方法には専用線からISDN（まだ現役ですよ！）のようなサービスまでいろいろとありますので、うってつけといえばうってつけですね。
また大企業になると自前でBGPを回すケースも出てきますが、さすがにこうなるとルーターでないと厳しいでしょう。
異種接続、冗長化、高速化に関してはルーターに頑張ってもらい、セキュリティはその後で考慮しよう。という程度に捉えて良いかと思います。

◆おまけ

>ファイアウォールがルーターの機能ももっていると思うので、ルーター
>なしで、直に接続しても良いような気がしています。
>（そうすれば、機器のお金が浮きますし。。）

この感覚は大事だし、真っ当だと思います。
コスト・リターンをまな板にかけた上で選んで下さい
冗長性や可用性といった部分にある程度の妥協が効くのであれば、それほど高額にはならないと思います。

No.3 回答者： 5S6 回答日時： 2011/04/27 16:15

ファイアウォールは不正な侵入を防いだり、特定のポート、接続を制限する者です。

ルーターはDHCPとしてアドレス割り当てを行います。
現在ではルーターがFWの役割もしています。

もちろんFW単体製品とは性能は劣りますが、よほど詳細なルールでないかぎり
通常のルーターで十分です。
またルーターはアドレス変換なども行います。
たとえばＡに送るはずのデータをBに送ったりもできます。


さらに今のルーターはインターネット接続の役割も果たします。
プロバイダの接続情報を入力したりもできますよね？


Windows標準のFWは自分に自分にアクセスするものを制限します。

零細企業、中小企業であれば1万程度のルーターだけで十分です。
簡易FW機能も含んでいます。
FWはWindows標準のもので十分です。

大企業や、ＷＥＢサーバーを外に置き不正アクセス対策や情報保護が必要な場合は
ハードウェアのＦＷも必要でしょう。


FWだけの場合インターネットに1台だけのPCをつなぐ場合はそれでも大丈夫です。
また光接続などでONUがルーターの役割(DHCP)の役割も果たしている場合も
ルーターは必要ないかもしれません。

No.2 回答者： gyusutav 回答日時： 2011/04/27 16:14

ルータがファイアウォールの前にある意味ですが、

スクリーニングルータとしての利用が考えられます。

基本的にルータはレイヤ３までの通信を制御可能です。
ファイアウォールはレイヤ７までの通信を監視できるものが多いです。

仮にインターネットとファイアーウォールを直で繋ぐと、
インターネットからの大量の通信をファイアーウォールで
捌く事になります。

そうすると、最大スループットに余裕がないファイアーウォールだと、
高負荷状態になり、機器の通信安定性が損なわれる事になります。

ファイアーウォールの前にルータを置き、インターネットからの
不要な通信をルータの設定で制御する事によって、ファイアーウォールの
負荷、帯域利用を下げる事が可能です。

No.1 回答者： gtx456gtx 回答日時： 2011/04/27 16:08

>ファイアウォールがルーターの機能ももっていると思うので、ルーター

>なしで、直に接続しても良いような気がしています。
>（そうすれば、機器のお金が浮きますし。。）
ファイアウォーは外部からの攻撃に対しての防波堤が主目的なので、内部に入りたいパケットを選別するためにルータをファイアウォーの前に設置してファイアウォーの負荷を低減させるのが目的だと思います。

安全とお金を天秤に掛けて、安全を重視すると「ルーターとファイアウォール」、お金を重視すると「ファイアウォール」に全てを任せて頑張ってもらうという選択だと思います。