ファイアーウォールに関する質問なのですが、

ファイアーウォールに関する質問なのですが、
(1)
ルーターとセキュリティーソフトのファイアーウォールを両方付けた状態で
ShieldsUP!などのオンラインポートスキャンを試すと、
Port113がcloseなのを除いてすべてステルスになっていました。

(2)
次にルーターを介さず、セキュリティーソフトのファイアーウォールだけで
フレッツ接続ツールなどで直接ネットに繋いでShieldsUP!でポートスキャンをしてみると、
Openはひとつもありませんでしたが、Closeになっているのは、わりとあって、
でもルーターを介した状態ではcloseになっていたPort113は逆にステルスになっていました。

(3)
ルーターのファイアーウォールだけ有効にして、
セキュリティーソフトのファイアーウォールを切った状態では
(1)のルーターとファイアーウォールを両方付けていた状態と同じでした。

これってどういうことなんでしょうか?
ルーターとセキュリティーソフトのファイアーウォールは両方付けておいた方が
良いそうですが、これを見る限りではルーターでポートを塞いでいるところに
またソフトでポートを塞いでいるというよりは、ルーターを介した場合は
ルーターの設定が優先でソフトウェアの方のファイアーウォールは
無効になっているのに等しいと思うのですが。。

二重の効果があるのなら、ルーターでCloseだったPort113は
セキュリティーソフトのファイアーウォールでステルスになって、
ルーターとセキュリティーソフトのファイアーウォールを両方使った場合は
すべてのポートがステルスになっているべきだと思うのですが。

これを見る限りでは、ソフトウェアのファイアーウォールはルーターを繋いでいる状態では
遅くなるだけで効果がなくて、アプリケーションコントロールとかで
内からの接続を許可したり、禁止したりしてる分だけしか有効でないと思うのですが。

ルーターでポートを防いでいる状態でソフトウェアのファイアーウォールを有効にしていて
助かった！って状況とかありえるでしょうか？逆はありそうですが。

No.1 ベストアンサー 回答者： John_Papa 回答日時： 2010/09/06 18:36

質問内容から概要は解っていらっしゃると見えますが、少し具体的に突っ込んでおきます。

＞ルーターの設定が優先でソフトウェアの方のファイアーウォールは
無効になっているのに等しいと思うのですが。。
はい正解です。
インターネット側からはルーターのIPアドレス（グローバルアドレス）・ルーターのポートしか見えません。
ルーターの内側は、グローバルアドレスからローカルアドレスに変換されると共に、ポートも変換され、外側のTCP113に対しては内側は流動的になっており、今回の接続はTCP6235を使ってとかで通信する仕組みになっています。従って外側からは内側の192.168.0.101のTCP113ポートを直接攻撃することができません。これがルーターの主な役割です。詳しくは「NAPT」というキーワードで検索して調べてください。

ルーターが無ければ、ＰＣがグローバルアドレスでなければインターネット通信が行えませんし、ポートの変換も無く直接該当するポートへ接続が試みられます。
この場合ファイル共有やリモート管理共有などローカルアドレス時には便利なネットワークサービス　UDP137,138　TCP135,139,445　などをファイアウォールで塞いでおかないと一溜りも無くマルウェアに感染してしまいます。

一般に、NAPTを含めファイアウォールは外側からの一方的なパケットは全排除し、内側からのリクエストを通しリクエスト先ＩＰ（外側）からの一定時間内の応答なら通過させるという方式で機能しています。
従って、ガンブラーに代表されるエクスプロイト攻撃ではホームページ閲覧によりＰＣ上で動作するスクリプトによりマルウェアをダウンロードリクエストする仕組みが取られます。これはファイアウォールにはどうしようもありません。
感染した後ではファイアウォールは殆ど役に立ちません。これは内から外に向かうパケット（アウトバウンド）を監視するファイアウォールには引っかかりますが、今どきのマルウェアはそれさえも回避する手段を身に着けていたりしますので、感染したＰＣにファイアウォールは役立たないとして宜しいかと思います。ルーターにパケットフィルター型のファイアウォールが備わっていたら、前出の共有ポートとかウイニーなどが使うポートのアウトバウンド側も塞いで置くと、ソフトウェアのアウトバウンドのフィルターように回避されないので有効かと思います。

＞ルーターでポートを防いでいる状態でソフトウェアのファイアーウォールを有効にしていて
助かった！って状況とかありえるでしょうか？
これは職場やホームネットワークのＰＣ一台がネットワークワームに感染した場合、他のＰＣがそれぞれのファイアウォールにより集団感染せずに済むというケースが有り得ます。きちんと使わないポートを塞いでいればという条件で。

この回答へのお礼

とてもわかりやすい説明でした。ありがとうございます。
ルーターを介すと、どのPCからも回答のお礼をする画面にいけなくなっていたので、
お礼が遅れました。

ルーターは通信の処理を専門に行う、ひとつのPCとして考えたら良いのですね。
外からはそのルーターまでしか見る事ができないので、ポートスキャンではルーターの状態しかわからない、と。
そこの中ではPFWは一応動いてるので、一応PFWは動かしてた方がいいんですね。
まずはルーターでアウトバンドの通信を防ぐ方法を勉強してみようと思います。
ありがとうございました。

お礼日時：2010/09/07 08:30