ネットワーク構成について(中・上級者向け？)

お世話になっております。
ネットワークの設計について質問させてください。
ちょっと長くなりますが、よろしくお願いします。

下記のようなネットワークを構築するとします。
・インターネットからＷＥＢ(サーバ)へのアクセス
・内部セグメントからインターネット閲覧

インターネット
｜
｜
｜210.0.0.1/24(global)
ルータ
｜210.0.1.1/24(global)
｜
｜
｜210.0.1.2/24(global)
ＦＷ――――――――――――ＷＥＢ 210.0.2.1/24(global)
｜192.168.0.1/24(private)
｜
｜【192.168.1.0/24(NWアドレス)】
｜
内部セグメント

【質問１】
このようなネットワーク(IPアドレス)構成はありますか？

【質問２】
このような構成でルータ～ＦＷセグメントにglobalIPを振るメリット・デメリトットを教えてください。
個人的にprivateIPでも構わないのではないかと考えています。

【質問３】
このような構成でＦＷ～ＷＥＢセグメントにglobalIPを振るメリット・デメリトットを教えてください。
個人的にprivateIPでも構わないのではないかと考えています。

【質問４】
このような構成で、インターネットからＷＥＢサーバにアクセスの設定を行う場合、下記設定になりますか？
ルータ設定：インターネット～ＷＥＢ間ルーティング(インターネットからＷＥＢ(サーバ)へのアクセスのため)
ＦＷの設定：インターネット～ＷＥＢ間ルーティング(インターネットからＷＥＢ(サーバ)へのアクセスのため)
内部セグメントからルータに向けてのＮＡＴ設定(内部セグメントからインターネット閲覧のため)

以上、よろしくお願いします。

No.2 ベストアンサー 回答者： hirasaku 回答日時： 2006/06/03 00:16

こんちは。

hirasakuです。
質問１
実際にはあるよ。
若干WAN側が違うけど、ルーターのWAN側はunnumberedにしてIP振らずにLAN口に通してLAN側にグローバルを振る方法が一般的かな。
このような構成にする理由とか条件があるとは思うけど。
たとえばルーターにはPPPoEでの接続と本来の経路制御のみやらせて、アクセス制御はFWに任せることにより機器の負荷分散ができるよね。
また、障害発生時の切り分けもしやすくなるのでは。
ルーターのスループットにしてもNATやフィルタリングなどなし状態でのスループットを表記している場合があるし、確かにルーターにIPマスカレードと複雑なフィルターを設定すればそれだけ負荷がかかりスループットも落ちる。いまどきのルーターは良くなってそうでもないかもしれないけど。
それと機器の機能にもよるのでは。
たとえばルーターは単純なパケットフィルタ機能しかない
FWにはPPPoEの機能がないがステートフルな制御ができるなど。
これも、いまどきのルーター・FWともアプライアンス化されていろんなことが出来るようになってるけどね。
質問２
メリット・・・ルーターの設定は楽。
デメリット・・グローバルIPが複数必要。ランニングがかかるかな。
NATというアドレス変換は大きな枠でとらえるとFWの機能の一つだと思う。だからFW機器には必ずNAT機能が備わっている。ルーター～FW間をプライベートIPにした場合、FWとルーターで2回のアドレス変換が発生するので、WAN側から何かをアクセスさせたいとき複雑になるね。
質問３
メリット・・・ないと思う
デメリット・・これも、この構成ならないと思う。
というのは、DMZ側はFWによってDMZ側のホストにアクセス制限をかけるからグローバルだろうとプライベートだろうと変わらない。
でも私もDMZはプライベートがいい。
質問４
ルーターは最初に書いたようにLAN側にグローバルを設定してある。それも複数IPを契約して。ということは、210.0.0.1/29 ならばWAN側からのあて先アドレスが 210.0.0.1-210.0.0.6 のアドレスはFWまで流してくれるのでDMZのWEBサーバーがどうのとかはいらない。
FWはあて先にWEBサーバーのグローバルアドレスが着たらアクセス制御に基づいて通過させるサービスのみ通過させそれ以外は拒否する。
（この構成の場合、80番ポートを通過）
FWはLAN側のホストに対してWAN側に許可するポリシーを設定して出すものは出し、拒否するものは拒否する。WAN側へはNATもしくはIPマスカレードによってアドレス変換を行いアクセスさせる。

という具合でしょうか。

No.3 回答者： Toshi0230 回答日時： 2006/06/03 01:15

A1. No.2さんが答えてくれるので省略。

でも正直なところ、ここまで豪快にGlobal IPを使っているネットワークは見たことがない（＾＾；。
（大学のように、組織全体にGlobal IPが使われている例を除く）

A2. 同上。
付け加えるなら、ルータ～FW間のネットワークをPrivate-IP化するのであれば、ルータの位置にFWを持ってきた方がよいのではないかな？

A3. FWにStatic NAT機能がついていない、あるいはNATを使いたくないのであればこういう構成はありです。
が、最近はStatic NAT機能を持たないFirewallなんて見たこと無いですから(DMZ用のインタフェース付きの物では特に）、あまり現実的な話ではないと思います。個人的にもStatic NATを使う方が好みです(Global IP節約できるし）。

A4. ルータは、WEBのサブネットに対する経路情報を持っておく必要がありますね。
FWはデフォルトルートだけでよいでしょう。
FWのルールについてはNo.2さんが回答されているので省略します。

No.1 回答者： tsukachan 回答日時： 2006/06/02 17:38

【回答１】

このようなネットワーク構成はありません。
ルータ～ＦＷ間はローカルＩＰです。そこにグローバルは使う必要ありません。
（使えない事は無いですけど意味があまり無いですね。高くなるし）
また、FW以下のNWアドレスにあたるローカルIP構成がおかしいです。
ルータも無いのに別セグメントにする意味が無い。

【回答２】
なのでメリットは全くないです。デメリットは取得するグローバルＩＰが多くなる為コストが掛かる事です。（ただ公開サーバの数が多くなるのであれば必要かもしれませんね）

ルータの設定は外部接続設定（NAT・DNS・PPPOEなど）・内部へのルーティング設定（デフォルトをDMZへルーティング）
FWは通信ポートの設定・ポート毎の振り分け設定

ルータで全部まかなえる製品ありますからその方がややこしく無いかもしれません。（FW単体を導入するのはセキュリティを強化したいから？）

専門家に頼んだ方が良いですよ・・・・
知識不足で外部ネットワークとつなぐ構成考えると自分だけでなく他人に迷惑掛かる恐れ有りますから・・・

この回答への補足

早々のご回答ありがとうございます。

>（使えない事は無いですけど意味があまり無いですね。高くなるし）
前提条件で抜けがございました。
一応、企業のネットワークを想定しています。
yahooとかはこうなっているのかな？と思いました。

>ルータも無いのに別セグメントにする意味が無い。
こちらについてはFWでルーティングの設定を加えてあげればよいのかと。

>（ただ公開サーバの数が多くなるのであれば必要かもしれませんね）
前提条件に漏れがありました。yahooとかを想定していました。すみません。

>ルータで全部まかなえる製品ありますからその方がややこしく無いかもしれません。（FW単体を導入するのはセキュリティを強化したいから？）
バリアセグメント構成ですか？
私もかねがね、なぜわざわざDMZ構成にするのか疑問に思っていました。

>専門家に頼んだ方が良いですよ・・・・
>知識不足で外部ネットワークとつなぐ構成考えると自分だけでなく他人に迷惑掛かる恐れ有りますから・・・
はい。ちょっと知識をつけたく相談に乗らせて頂きました。

補足日時：2006/06/02 18:19