ファイアウォールの3つの構築方法を紹介

ファイアウォールの構築方法3種類

ファイアウォールには、以下の構築方法があります。

• スクリーンホスト
• デュアルホーム
• スクリーンサブネット

それぞれ見ていきましょう。

スクリーンホスト

「スクリーニングルーター」と「要塞ホスト」を統合した方法です。スクリーニングルーターとは、アクセス制限をかけることで外部からの侵入を防ぐ機能を持ったルーターを意味します。

要塞ホストは、LANとインターネットの接続を中継するコンピューターのことです。外部からの通信は、一度スクリーニングルーターを通ってパケットをフィルタリングします。その後、要塞ホストに流れ、パケットを破棄するかを判別し、許可されたトラフィックのみが、内部のコンピュータに繋がるのです。要塞ホストは攻撃されやすいので、万全なセキュリティ対策が必要です。しかし、厳重な多重防御を構えるには、大きなコストが発生します。

そこでスクリーンホスト構成は、ハニーポット（囮）として使用されることも多いです。ハニーポットによって攻撃してきた者を観察したり、より重要なシステムへの攻撃を避けたりする目的で使用されます。

デュアルホーム

デュアルホームとは、2つのインターフェースカードを利用したシステムのことです。外部ネットワークと内部ネットワークの間に、異なるインターフェースを持つ1台の中継機が設置されます。インターネット側に見せるインターフェースと、内部ネットワークに見せるインターフェースの2つの特徴を持っています。

これにより、ホストコンピュータが落とされない限りは、通信を完全に遮断することが可能です。特徴をまとめると、

• 通信を遮断して内部干渉を防御
• 中継機のプロキシで代理通信

中継機のプロキシで代理通信するため、デュアルホームは外部と直接通信しません。外からは内部が見えず、安全性が高いです。ただし、1台の中継機がセキュリティを支えているため、攻撃されると不正アクセスの制御は難しいでしょう。

スクリーンサブネット

要塞ホストに「DMZ（非武装地帯）」という攻撃されにくい境界ネットワークを追加した方法です。サブネットを挟むことで、外部・内部ネットワークを完全に分離します。スクリーンホスト構成と似ていますが、それよりもセキュリティ強度が高いため、最も主流の構築方法といえるでしょう。

サブネットが内部からの通信も守るため、コンピュータがトロイの木馬などのマルウェア感染にも有効です。他の構築方法に比べて手間がかかる分、強固なセキュリティが確保できます。

ファイアウォール構築のポイント・注意点

ここでは、構築のポイントや注意点について解説します。

自社に合った製品を選ぶ

まずは自社に合った製品を選ぶことが大切です。ファイアウォールの種類には、以下のようなものがあります。

• 一般的なファイアウォール：悪意のあるネットワーク通信から守る役割
• パーソナルファイアウォール：1台のコンピューターに対して、不正な侵入を防いだりウイルスの侵入を守る

パーソナルファイアウォールは、主に個人利用のコンピューターに導入するため、企業規模とは異なる場合があるのを把握しておきましょう。また、ファイアウォールは強固なセキュリティを確保できますが、すべての通信を防御できるわけではありません。

なぜなら、ネットワーク層しか防げないため、OSやWebアプリケーションの防御は別のセキュリティ対策が必要になるからです。それらを踏まえたうえで、自社に最適な製品を選ぶようにしましょう。

使いやすさもチェック

ファイアウォールを選ぶ際は、使いやすさもチェックしておくのが大切です。また、すべてのネットワーク通信を扱うので、処理能力やファイアウォール自体の性能の高さも見ておきましょう。

近年普及が進んでいる「クラウド型」のファイアウォールサービスもおすすめです。運用性に優れており、初心者でも使いやすくなっています。ハードウェアの故障など予期せぬトラブルはあるため、トラブル発生時の復旧体制を整えておくのも大切です。

まとめ

今回はファイアウォールの3つの構築方法を紹介してきました。ファイアウォールは外部ネットワークから内部コンピュータを守ってくれる、セキュリティ対策です。

自社に合ったファイアウォールを構築することで、強固なセキュリティ対策を講じられます。本記事がファイアウォール構築の一助になれば幸いです。