OKWAVEのAI「あい」が美容・健康の悩みに最適な回答をご提案!
-PR-
解決
済み

ファイヤーウォールとプロキシ

  • 困ってます
  • 質問No.217718
  • 閲覧数192
  • ありがとう数2
  • 気になる数0
  • 回答数2
  • コメント数0

お礼率 68% (24/35)

ボックス・ユニット型のファイヤーウォール(FW)製品には、プロキシ機能が付いているものがありますが、FWとプロキシを同じ機器で動かすのは、セキュリティ上は安全なのでしょうか? 
一般に、UNIXマシンでFWやプロキシを動かす場合、それぞれで別々のマシンを用意するようですが…。それは、OS等にセキュリティ・ホールが多いため??
通報する
  • 回答数2
  • 気になる
    質問をブックマークします。
    マイページでまとめて確認できます。

質問者が選んだベストアンサー

  • 回答No.2
レベル11

ベストアンサー率 36% (86/235)

ここでいうボックス・ユニット型のファイアーウォールが何を示すのかは微妙なところですが、FWもPROXYも機能の名前ですので、同じ筐体で動かすのか別の筐体で動かすのかは、セキュリティ上の問題ではないと思います。どちらかというとパフォーマンスの問題が多いと思います。後は、予算とサイトのポリシーです。
マシンを別にすれば、セキュリティ管理をするホストが増えるだけです。しかし、マシンを少なくすれば、破られたときにほかに守るものがなくなるとか接続するための補助のホストがなくなるとか、将来的なパフォーマンスの夜湯がなくなるとかという問題が発生する可能性がある。等、いろいろありますが、実際には、パフォーマンスと予算の問題が一番大きいのだろうと思います。
決して1台だとセキュリティに問題が発生するというものではありません。きちんと管理していれば、1台でも十分です。複数台あっても管理されていなければ、踏み台になるホストが増えるだけです。
基本的にボックス・ユニット型のファイヤーウォール(FW)製品は、ベンダーがセキュリティ対策をおこなうようになっているので、きちんと保守してくれるところに頼むしかありません。また、きちんとできないところのものを購入してはいけません。保守契約をケチることもいけません。
お礼コメント
mod

お礼率 68% (24/35)

ご指摘ありがとうございます。参考にさせていただきます。
投稿日時 - 2002-02-15 09:37:46
-PR-
-PR-

その他の回答 (全1件)

  • 回答No.1
レベル13

ベストアンサー率 40% (404/988)

こんにちは。 とっても、個人的な見解が入るんですが、回答します。 ボックスとかって、ルーティングが、ソフトですよね?Linuxとか・・・ 【セキュリティ上、好ましくは無いと思います。】 ★セキュリティホールは、OSに限りませんよ。 例えば、昨日SNMPの実装に問題があることが明らかにされました(痛)。 【興味あるなら↓どうぞ】 http://itpro.nikkeibp.co.jp/ ...続きを読む
こんにちは。
とっても、個人的な見解が入るんですが、回答します。

ボックスとかって、ルーティングが、ソフトですよね?Linuxとか・・・
【セキュリティ上、好ましくは無いと思います。】

★セキュリティホールは、OSに限りませんよ。
例えば、昨日SNMPの実装に問題があることが明らかにされました(痛)。
【興味あるなら↓どうぞ】
http://itpro.nikkeibp.co.jp/free/ITPro/NEWS/20020213/1/

このように負荷の分散とともにリスクの分散も行う為に別のマシンにしていると思いますよ。さらに、セキュリティの設計段階でも、マシン(IPアドレス)を変えた方が設計しやすく、柔軟な対策が取れるようになります。


●同じIP?
ル-タ|--|FW|--|PROXY|
というのが、いわゆる「良くあるパターン」だと思います。
 FWの外と中でIPアドレスの体系を替える事で、侵入が少しだけ難しくなります。一体になっていると、これができるのでしょうか?
一体型で、ブロードキャストドメイン(論理的に同じネットワークに存在192.168.1.*同士だったりとか・・・)であったり、同じIPなんて場合は、もう最悪ですよね。

●物理接続は?
物理的に一緒になっていて、内部でこれと同じ接続形態が得られるなら良いのですが、
ル-タ|--|FW|
 ̄ ̄ ̄L--|PROXY|
のようにFWを経由しないで、PROXYが接続しされてしまうと、そこに大穴ができますよね。ルータのルーティングで透過されてきた、パケットなどはある程度、ファイアウォールで何とかします。が、これではだめですよね。最悪パターン。

●「物理的に一台のCPU」であると危険であるということ。
複合的な脆弱性や、他のプロセスの脆弱性の「とばっちり」を食わないのか?
など、不安要素は、たくさん・・・。

なんでも、「集中」させればよいというものではないと思います。
特にセキュリティでは。その分、管理は大変なんですがね(^^;

ボクの思考のレベルでは、まだまだ甘いかもしれませんが・・。
でわ
お礼コメント
mod

お礼率 68% (24/35)

ありがとうございました。参考にさせていただきます。
投稿日時 - 2002-02-15 09:35:44


このQ&Aで解決しましたか?
関連するQ&A
-PR-
-PR-
このQ&Aにこう思った!同じようなことあった!感想や体験を書こう
このQ&Aにはまだコメントがありません。
あなたの思ったこと、知っていることをここにコメントしてみましょう。

その他の関連するQ&A、テーマをキーワードで探す

キーワードでQ&A、テーマを検索する
-PR-
-PR-
-PR-

特集


いま みんなが気になるQ&A

関連するQ&A

-PR-

ピックアップ

-PR-
ページ先頭へ