ボックス・ユニット型のファイヤーウォール(FW)製品には、プロキシ機能が付いているものがありますが、FWとプロキシを同じ機器で動かすのは、セキュリティ上は安全なのでしょうか? 
一般に、UNIXマシンでFWやプロキシを動かす場合、それぞれで別々のマシンを用意するようですが…。それは、OS等にセキュリティ・ホールが多いため??

このQ&Aに関連する最新のQ&A

A 回答 (2件)

ここでいうボックス・ユニット型のファイアーウォールが何を示すのかは微妙なところですが、FWもPROXYも機能の名前ですので、同じ筐体で動かすのか別の筐体で動かすのかは、セキュリティ上の問題ではないと思います。

どちらかというとパフォーマンスの問題が多いと思います。後は、予算とサイトのポリシーです。
マシンを別にすれば、セキュリティ管理をするホストが増えるだけです。しかし、マシンを少なくすれば、破られたときにほかに守るものがなくなるとか接続するための補助のホストがなくなるとか、将来的なパフォーマンスの夜湯がなくなるとかという問題が発生する可能性がある。等、いろいろありますが、実際には、パフォーマンスと予算の問題が一番大きいのだろうと思います。
決して1台だとセキュリティに問題が発生するというものではありません。きちんと管理していれば、1台でも十分です。複数台あっても管理されていなければ、踏み台になるホストが増えるだけです。
基本的にボックス・ユニット型のファイヤーウォール(FW)製品は、ベンダーがセキュリティ対策をおこなうようになっているので、きちんと保守してくれるところに頼むしかありません。また、きちんとできないところのものを購入してはいけません。保守契約をケチることもいけません。
    • good
    • 0
この回答へのお礼

ご指摘ありがとうございます。参考にさせていただきます。

お礼日時:2002/02/15 09:37

こんにちは。


とっても、個人的な見解が入るんですが、回答します。

ボックスとかって、ルーティングが、ソフトですよね?Linuxとか・・・
【セキュリティ上、好ましくは無いと思います。】

★セキュリティホールは、OSに限りませんよ。
例えば、昨日SNMPの実装に問題があることが明らかにされました(痛)。
【興味あるなら↓どうぞ】
http://itpro.nikkeibp.co.jp/free/ITPro/NEWS/2002 …

このように負荷の分散とともにリスクの分散も行う為に別のマシンにしていると思いますよ。さらに、セキュリティの設計段階でも、マシン(IPアドレス)を変えた方が設計しやすく、柔軟な対策が取れるようになります。


●同じIP?
ル-タ|--|FW|--|PROXY|
というのが、いわゆる「良くあるパターン」だと思います。
 FWの外と中でIPアドレスの体系を替える事で、侵入が少しだけ難しくなります。一体になっていると、これができるのでしょうか?
一体型で、ブロードキャストドメイン(論理的に同じネットワークに存在192.168.1.*同士だったりとか・・・)であったり、同じIPなんて場合は、もう最悪ですよね。

●物理接続は?
物理的に一緒になっていて、内部でこれと同じ接続形態が得られるなら良いのですが、
ル-タ|--|FW|
 ̄ ̄ ̄L--|PROXY|
のようにFWを経由しないで、PROXYが接続しされてしまうと、そこに大穴ができますよね。ルータのルーティングで透過されてきた、パケットなどはある程度、ファイアウォールで何とかします。が、これではだめですよね。最悪パターン。

●「物理的に一台のCPU」であると危険であるということ。
複合的な脆弱性や、他のプロセスの脆弱性の「とばっちり」を食わないのか?
など、不安要素は、たくさん・・・。

なんでも、「集中」させればよいというものではないと思います。
特にセキュリティでは。その分、管理は大変なんですがね(^^;

ボクの思考のレベルでは、まだまだ甘いかもしれませんが・・。
でわ
    • good
    • 0
この回答へのお礼

ありがとうございました。参考にさせていただきます。

お礼日時:2002/02/15 09:35

お探しのQ&Aが見つからない時は、教えて!gooで質問しましょう!

このQ&Aと関連する良く見られている質問

QFW、プロキシのログ保存期間について

表題についてご質問します。

通信法で、ファイアウォールやプロキシについて、最低ログ保存期間が設定されているとお聞きしましたが、色々検索しても出てきません。

なお、弊社はISP業者ではなく、一般の製造業です。

法律に詳しい方がいらっしゃいましたら、ご教授願いたく存じます。

Aベストアンサー

「システム管理基準 追補版(財務報告に係るIT統制ガイダンス)」の公表について
http://www.meti.go.jp/press/20070330002/20070330002.html

がありました。ここでも「一定期間」のままでした。
経済産業省まじめにやれ。

Qファイヤーウォールの種類

ファイヤーウォールには

パケットフィルタリング型
 ・送信元・先だけをチェックし中身はチェックする。
アプリケーションゲートウェイ型
 ・データの中身まで確認しその内容によってフィルタリングを行う。
 ・プロキシサーバーで接続するサイトを制限できる。
ステートフルインスペクション型
 ・IPアドレスやポートの確認まで行う。

などの種類があると聞いたのですが上記は見ての通り非常に大雑把であります。
どなたか上記内容をより詳しく教えていただけないでしょうか。
また私の認識違い等ございましたら御指摘なども頂けたら幸いです。
よろしくお願い致します。

Aベストアンサー

もう一個の質問にも回答した者ですが、
確かに種類も大雑把なのですが、質問も大雑把です。

ファイアウォールなんて簡単に1冊本が書けるくらいボリュームあるんですから。何から説明してよいかわかりません。(貴方の現在の理解度も不明ですし)

とりあえずリンク先でも読んでください

参考URL:http://www.atmarkit.co.jp/fsecurity/special/17fivemin/fivemin00.html

Qファイヤーウォールについて

お世話になります。

おわかりになる方がおりましたら教えていただきたいです。
ファイヤーウォールの設定についての質問です。

今Microsoft SQL Server 2008を使用して、
SQL認証で、同じLAN内からリモートでアクセスしています。

ただ、ファイヤーウォールの設定が、
「無効」になっておりましたので、
「有効」にいたしました。

その途端アクセスができなくなりました。
SQL認証でリモートからアクセスする時は、
ファイヤーウォールはかけることができないのでしょうか?
それとも、何か設定等をすればアクセスできるのでしょうか?

いろいろ調べてみたのですが、
ファイヤーウォールの設定の箇所で、
「例外」・「詳細設定」をきちんと設定すれば
アクセスできるのではないかと思っております。

ただ、その方法がわかりません。
できるかできないかということと、
設定等が詳しく記載しているURLとか知っておりましたら
ご教授いただければ幸いです。

Microsoft SQL Server 2008を使用しているOSは
「Windows 2003 server」です。


本当にすみませんが。よろしくお願いいたします。
この設定がわからず、ここ2日ほど家に帰れておりません・・・。

お世話になります。

おわかりになる方がおりましたら教えていただきたいです。
ファイヤーウォールの設定についての質問です。

今Microsoft SQL Server 2008を使用して、
SQL認証で、同じLAN内からリモートでアクセスしています。

ただ、ファイヤーウォールの設定が、
「無効」になっておりましたので、
「有効」にいたしました。

その途端アクセスができなくなりました。
SQL認証でリモートからアクセスする時は、
ファイヤーウォールはかけることができないのでしょうか?
それとも、何か設...続きを読む

Aベストアンサー

参考URLをご覧ください。
ここを見て必要なポートを開放すれば良いかと思われます。

参考URL:http://msdn.microsoft.com/ja-jp/library/cc646023.aspx

Qパーソナルファイヤーウォールのログ

トレンドマイクロの「ウィルスバスター2001」を使っています。
8月に「CodeRed」、9月に「Nimda」に感染しました。

それで恐くて、最近はずっと毎日ウィルススキャンしているのですが、ふとログを見るとパーソナルファイヤーウォールのログに不正アクセスとして記録されたIPアドレスがあることに気づきました。
そのIPアドレスはいつも同じではないし、規則性がありません。
これはどういうことなのでしょうか。
また、この場合どのような手段をとるべきなのでしょうか?
わかる方がおられましたら、教えてください。お願いします。

今使っているOSはWindows95です。
ウィルス感染時にはWindows2000サーバーの入ったパソコンを使っていたのですが、二度のウィルス感染とその対策にかかるコストから個人で使うには手に余るので、HDDごと交換してOSをクライアント向けのものに変更しようと思っています。

Aベストアンサー

いわゆるアタックですね。
よくあることですよ。
ただし、ファイアウォールがシールドを張ってますから、基本的にブロックされます。
よって、こまめにログを確認して不正侵入されていないかだけをチェックしていれば結構です。
もし、侵入があった際は、通信回線をすぐに抜く、その上でIPA(参考)に侵入ログや侵入された報告を転送したり、さらにルータや強力なファイアウォール専用ソフトを導入するのが好ましいです。
ちなみに、OSを変えても結構ですが、だからといってアタック減るわけではないので、その点は間違えないようにしてください。

ついでにもう一つセキュリティで不安があるなら、下のサイトでセキュリティリスクの状況をチェックできます。
http://www.symantec.com/region/jp/securitycheck/
(このうち上位3つが安全ならある程度安全性が確保されています)

参考URL:http://www.ipa.go.jp/security/

Qプロキシサーバとファイヤーウォールの関係

プロキシサーバという言葉は、ファイヤーウォールとの関連でよく見かけますが、プロキシサーバとファイヤーウォールは、どのような関係なのでしょうか?

「プロキシサーバ」=「ファイヤーウォール」ではないように思うのですが、「ファイヤーウォール」の機能を実現しようとすると、必ず「プロキシサーバ」が必要ということでしょうか?

それとも、「ファイヤーウォール」の機能を実現する手段は、「プロキシサーバ」以外にも色々あるけれど、実際には、「プロキシサーバ」が使われる場合が多いという話でしょうか?

Aベストアンサー

簡単に言うと
FirewallはクライアントのIPアドレスはそのまま相手に届きます。
ProxyはクライアントのIPアドレスをProxyServerが持っているIPアドレスに置き換えて相手に届きます。

どちらも独立したモノなので必ずペアである必要はありません。

Proxyを導入するケースとしては、インターネットに接続するIPアドレスが1コしかないが、インターネットに接続したいPCが100台あるような場合に導入します。
ルーターも同じようなことが可能ですが、ルーターは異なるセグメント間での中継器となります。

FirewallはIPアドレスやTCP/UDPポート毎に上り/下りのアクセス制限をかけることが出来ます。
これは企業が社内ネットとインターネットを論理的に切り離し社内のネットワークを外部から守るときに使用します。

家庭ではせいぜいブロードバンドルーターを使用する程度ですが、企業などではFirewall、Proxy、Rooterを併用しているはずです。


各々共通の機能を持ち合わせていますが、足りない部分を補っていると考えてもいいと思います。

参考URL:http://www.atmarkit.co.jp/fnetwork/

簡単に言うと
FirewallはクライアントのIPアドレスはそのまま相手に届きます。
ProxyはクライアントのIPアドレスをProxyServerが持っているIPアドレスに置き換えて相手に届きます。

どちらも独立したモノなので必ずペアである必要はありません。

Proxyを導入するケースとしては、インターネットに接続するIPアドレスが1コしかないが、インターネットに接続したいPCが100台あるような場合に導入します。
ルーターも同じようなことが可能ですが、ルーターは異なるセグメント間での中継器となります。

...続きを読む


人気Q&Aランキング

おすすめ情報