OKWAVEのAI「あい」が美容・健康の悩みに最適な回答をご提案!
-PR-
解決
済み

ファイアー・ウォールについて教えてください

  • 困ってます
  • 質問No.236188
  • 閲覧数175
  • ありがとう数5
  • 気になる数0
  • 回答数6
  • コメント数0

お礼率 57% (4/7)

ファイアー・ウォールの設定に穴を開けるとどのような危険性があるのでしょうか?(ファイアー・ウォールを通過できるサーバを増やす等)
無差別に通しているわけではないのだから、通過できるサーバを一台くらい増やしてくれればいいのにと思ってしまいます。
元の役割をいまいち理解していないからこのような疑問が湧いてしまうと思います。
どなたか、教授お願いいたします。
通報する
  • 回答数6
  • 気になる
    質問をブックマークします。
    マイページでまとめて確認できます。

質問者が選んだベストアンサー

  • 回答No.5
レベル11

ベストアンサー率 36% (86/235)

ここらへんがDBを使用する公開アプリケーションサーバーをどこへおくのかという論争になる部分ですね。DBサーバーをDMZ(公開部分)でなく内部に置いておきたいのは当然の心理ですが、DMZにおいてあるWEbサーバーから内部のDBサーバーに接続できるということは、WebサーバーがDBサーバーへのクライアントとしてDMZから内部ネットへアクセスしてくることを意味します。Firewallの基本は、外から中へはアクセスさせないというのが基本です。ですから外からアクセスする(外へ公開する)ものは、DMZ等外へおくわけです。なのにDBサーバーを内部に置くということは、外部から内部への穴をあけてしまうということになります。つまり外から中へ入ることのできる道を作ってしまうということなのです。最悪の依場合、外部からDBサーバーを踏み台として内部へ侵入することが可能であるということです。
ということで、この場合は、DBサーバーを外へ出すということが1つの回答となるでしょう。Webサーバーと同じところに置くということです。
この場合注意しなければならないことは、DBサーバーのセキュリティ確保を行うことと、DBの中身は、公開するデータのみにするということです。
もちろんインターネットから直接そのDBサーバーへのアクセスポートは、許可してはいけません。¥
お礼コメント
bunraku77

お礼率 57% (4/7)

とても参考になりました。
ありがとうございました。
投稿日時 - 2002-03-17 23:32:01
-PR-
-PR-

その他の回答 (全5件)

  • 回答No.1
レベル14

ベストアンサー率 30% (2017/6702)

会社などで管理者に拒否されたのでしょうか。 >ファイアー・ウォールを通過できるサーバを増やす これの意味が解りません。 たとえばWEBサーバーを通すのならポート80を開けますが、80ポートを開ければすべての80を利用しているWEBサーバーが通過できるはずです。 特定のサーバーが特定のポートを開けるように要求しているのでしょうか? その場合、そのポートを空けることによりサーバー以外 ...続きを読む
会社などで管理者に拒否されたのでしょうか。

>ファイアー・ウォールを通過できるサーバを増やす

これの意味が解りません。
たとえばWEBサーバーを通すのならポート80を開けますが、80ポートを開ければすべての80を利用しているWEBサーバーが通過できるはずです。

特定のサーバーが特定のポートを開けるように要求しているのでしょうか?

その場合、そのポートを空けることによりサーバー以外のリクエストで、外部から侵入できる可能性がある場合、管理者はそのポートを開けません。
補足コメント
bunraku77

お礼率 57% (4/7)

すいません。わかり辛かったですね。
具体的にいうとインターネット上で公開しているWebサーバ上のプログラムでイントラネット内のDBサーバにデータを書き込みたいのですが、ファイアー・ウォールの制限によりアクセスできません。
これを可能にするには、ファイアー・ウォールでどのような設定が必要になりますか?また、それに伴いどのような危険性が考えられますか?
というのを教えていただけると助かります。
投稿日時 - 2002-03-16 17:31:48


  • 回答No.2
レベル13

ベストアンサー率 25% (453/1783)

私は「教授」ではありません。日本語は正しく使いましょう(笑) ファイアウォールは何のためにあるのですか? 外からの侵入を防ぐためですよね? だったら、穴をあければ、どんどん入ってきてしまますよね? 穴を全部ふさいでしまったら自分も外に出られないので、最低限必要なものはあけますね? でも、穴をたくさんあければあけるほど外からは侵入しやすくなりますよね? ただそれだけのことです。 80と44 ...続きを読む
私は「教授」ではありません。日本語は正しく使いましょう(笑)

ファイアウォールは何のためにあるのですか?
外からの侵入を防ぐためですよね?
だったら、穴をあければ、どんどん入ってきてしまますよね?
穴を全部ふさいでしまったら自分も外に出られないので、最低限必要なものはあけますね?
でも、穴をたくさんあければあけるほど外からは侵入しやすくなりますよね?
ただそれだけのことです。
80と443は仕方が無いのですが、それ以外のポートやftp、telnetなどは普通嫌がります。
  • 回答No.3
レベル14

ベストアンサー率 30% (2017/6702)

WEBサーバーから書き込むということはインターネットからイントラネットサーバーに接続できると言うことで、これは危険極まりないから、うちの会社なら絶対に許可しません。 WEBサーバーからインターネット経由でイントラネットサーバーに接続なんてほとんど無差別ですよ。 ...続きを読む
WEBサーバーから書き込むということはインターネットからイントラネットサーバーに接続できると言うことで、これは危険極まりないから、うちの会社なら絶対に許可しません。
WEBサーバーからインターネット経由でイントラネットサーバーに接続なんてほとんど無差別ですよ。
お礼コメント
bunraku77

お礼率 57% (4/7)

ご指摘ありがとうございました。
セキュリティポリシーの勉強に励みます。
投稿日時 - 2002-03-17 23:37:39
  • 回答No.4
レベル11

ベストアンサー率 38% (141/363)

弊害については皆さんが色々と「ご教示」されているようなので、ちょっと趣向を変えましょう。 通常の、DBサーバーとWebサーバーがともにグローバルアドレス上に、公開されているとします。 その場合、WebサーバーからDBへの書き込み要求が出たとき、 #ポート番号や細かい点は気にしないでください(^^; ---------- web Server ----------   ↓ポート54 ...続きを読む
弊害については皆さんが色々と「ご教示」されているようなので、ちょっと趣向を変えましょう。

通常の、DBサーバーとWebサーバーがともにグローバルアドレス上に、公開されているとします。
その場合、WebサーバーからDBへの書き込み要求が出たとき、

#ポート番号や細かい点は気にしないでください(^^;

----------
web Server
----------
  ↓ポート5432を開けろ~
----------
DB Server
----------
ん?こいつに(IPアドエスを見て)開けていいのかな・・
調べる・・・・うん、大丈夫だ!
と判断してポートを開きます。

さて、今度はWeb→FW→DBとなる場合を考えてみましょう。

---
Web
---
↓ポート5432を明けろ~
---
FW
---
5432への要求?聞いてないよ・・・だからだめ!
↓・・・・・
---
DB
---
となり、DBへは要求は伝わりません。
ゆえに、FWに、input、forward の2つでポートを開かなくてはなりません。

*外からDBを閲覧したい場合や、書き込みを確認したい場合はoutputも開く

で、管理者には、どうしてそのポートを開けるのがイヤなのかを問いただせばいいと思います。

# 私としては、FWに開ける穴は、別に80である必要はないと思いますよ。
お礼コメント
bunraku77

お礼率 57% (4/7)

FW有り無しの違いを解りやすく「ご教示」して頂いて、ありがとうございました。
投稿日時 - 2002-03-17 23:35:39
  • 回答No.6
レベル10

ベストアンサー率 31% (60/191)

なぜポートを開放することをいやがるかというと、Windows にしても、UNIXにしても、サーバを起動するとき、そのサーバに不必要なサービスをそのまま開放しているケースがあまりにも多いのが現状で、そのことが原因でサーバの乗っ取りやワームの拡散がいともたやすくできてしまうからです。穴をとおすということは、まず第一条件としてそのサーバから、別のサーバへ経路を新規に作成することですからね。 あとは、FireW ...続きを読む
なぜポートを開放することをいやがるかというと、Windows にしても、UNIXにしても、サーバを起動するとき、そのサーバに不必要なサービスをそのまま開放しているケースがあまりにも多いのが現状で、そのことが原因でサーバの乗っ取りやワームの拡散がいともたやすくできてしまうからです。穴をとおすということは、まず第一条件としてそのサーバから、別のサーバへ経路を新規に作成することですからね。
あとは、FireWall といのはある程度不正アクセス、なりすましには効果はありますが、万能ではありません。(昨年の Nimda なんかを例にとれば、HTTP:80を狙って攻撃したものですからな。)
このQ&Aで解決しましたか?
関連するQ&A
-PR-
-PR-
このQ&Aにこう思った!同じようなことあった!感想や体験を書こう
このQ&Aにはまだコメントがありません。
あなたの思ったこと、知っていることをここにコメントしてみましょう。

その他の関連するQ&A、テーマをキーワードで探す

キーワードでQ&A、テーマを検索する
-PR-
-PR-
-PR-

特集


いま みんなが気になるQ&A

関連するQ&A

-PR-

ピックアップ

-PR-
ページ先頭へ