• ベストアンサー

ファイアーウォール

Webサーバーを構築しようと考えています。 セキュリティーには、ほとんど素人です。 そこで、ファイアーウォールを何にするか考えています。 Sonicwallより、いい物を購入したいのですが。 何がどの様にいいのかがわかりません。 どなたか教えてください。

質問者が選んだベストアンサー

  • ベストアンサー
  • kusukusu
  • ベストアンサー率38% (141/363)
回答No.5

おはようございます。 やっと、構成が分かりました。 他の方の意見も欲しいのですが、私の意見で言えば 全く意味がないと思います。 話を単純にするため、現在の構成ではポート25,110 以外を解放していないとします。 #DNSやsshなどは動いていないと仮定すると言うことです。 外部からの進入だけを考えた場合、現在ではSonicによって、25,110以外ははじかれます。 同様に、LANのセキュリティレベルも同じになります。 また新たなサービス(今回はhttpdですね)を追加すると言うことは、 基本的にセキュリティレベルは下がると言うことです。 当然、WEBサーバーを外部に公開するには、その通り道の全ての機器の80を解放しなくてはなりません。 故に、Sonicも80を解放することになります。 予定構成では、NFWはWEBサーバーのみを保護することになります。 NFWが無い場合WEBサーバーもSonicのセキュリティレベルと同様になります。 つまり、25,80,110を解放していることになります。 NFWをその位置に導入する理由として、WEBサーバーによけいな穴をあけたくない(25,100をつぶしたい)と言うのであれば、意味が分かりますが、それにどれほどの理由があるのかは私には分かりません。 単純にサーバー側で塞げば終わりというような気がします。 そこで、どうしてもNFWを入れたいのであれば、以下のようにしてはいかがでしょうか? router | Sonic | WEB,Mail | NFW | LAN これであれば、NFWを導入する意味合いが分かります。 グローバル(WEB,mail)とローカル(LAN)のセキュリティレベルを分け、立派にDMZにグローバルサーバーをおくことになると思います。 ただ!なぜこれを強くお勧めしないかというと、最近のルータであれば、わざわざFW専用機を導入しなくても、かなりのセキュリティレベルを維持することができると思うからです。 無駄な投資をせずに #デフレの今、是非買いましょう!と言った方がいいのでしょうが(^^; 現在ある物で、強化してみてはいかがでしょうか? 最後にFWは専用機でなければいけないと言うわけではありません。 もし、現在は利用していない古いマシン (ペンティアム100程度で十分です) があれば、それにPC-UXIXを入れて、設定すれば、専用機と比べても劣らないような立派なFWができます。 もし時間があれば、勉強してみてください。 それでは

shigechii
質問者

お礼

すいません。ありがとうございます。 上司の話し合いもう一度考え直してみます。 また、伺うかもしれませんが、よろしくお願いいたします。

その他の回答 (4)

  • kusukusu
  • ベストアンサー率38% (141/363)
回答No.4

ちょっとまとめてみます。 まず、mailサーバーですが mailサーバーの前には、Sonicのみがある #ルータは抜きです 続いて、webサーバーは Sonic--NewFireWall--web と言う形になる。 と言うことですね? 単純な話ですが、webサーバーにアクセスするには SonicとNFW(NewFireWall)を通過しないいけないですよね? と言うことは、Sonicもポート80番は解放しなければなりません。 同様にメールサーバーがくっついていますから、ポート25、110を解放します。 で、1つお聞きしたいのが、webサーバーの25,110を解放することに、どれだけ問題があるのでしょうか? LANは結局のところ、Sonicしか通過してないわけですから、Sonicのセキュリティレベル=LANのセキュリティレベルと言うことになりますよね? で、NFWは、webサーバーのみのセキュリティを高める事になると思いますが、どのような意図でそうされたいのでしょうか? 例えば、webサーバーをメールサーバーと同じセグメント上につけ、Sonicのポート25,80,110を解放するのが問題である理由が分かりません。 どうしても、webサーバーの25,110を解放したくないと言う理由があればいいですが、そうでない限り無意味ではないかと思います。 本末転倒な話になるかもしれませんが、NFWは必要ないのではないでしょうか? もしその必要性があれば、申し訳ありませんが、逆に後学のためその理由をご教授下さい。

shigechii
質問者

補足

すいません。何度もごめんなさい。 頭の中をまとめてみました。 形として、   router    |    |  Sonic--Mail    |    |--NewFireWall--Web     |    LAN という、形をとろうと考えています。 話がコロコロ変わってしまってすいません。 上との話がかみ合っていませんでした。 この場合でもLANからしてみれば、 Sonicwallのみのセキュリティしかかかっていません。 ですが、外からWebサーバーを通ってLANへ入る事は防げるのでは? ないでしょうか? すいません。セキュリティに関して、 ど素人です。 現在のSonicwallでは、Webサーバーを立てるほどの セキュリティを掛けていませんでした。 上の方からもっとセキュリティの高いものを 設置するように言われ探している所なのです。 これって、無意味ですか? 勉強はしているつもりなのですが、 勉強不足です。すいません

  • kusukusu
  • ベストアンサー率38% (141/363)
回答No.3

こんにちは まだ、ちょっと構成がよく掴めていないのですが、 現在 router    |   | Sonic--Mail   |   | LAN 予定 router   |   | Sonic--Mail    |    | NewFireWall--Web    |    | LAN と、こんな風に直列に並べたいと言うことですか? しかしこれでは >現在のファイアーウォールの前にWebサーバー用のファ >イアーウォールを 設置するつもりです。 これを満たしませんね(^^; 予定2 router   |    | NewFireWall--Sonic--|--mail    |            |--Web    | LAN って、事ですか? どちらもあまり意味がないような気がするが・・・ すいません。 ちょっとおっしゃりたい意図が掴めません。 もうちょっと補足してください

shigechii
質問者

補足

すいません。 この様な形をとりたいのですが? これって、全然意味がないのでしょうか? router   |    | Sonic-----------mail    |   |             | newfirewall LAN | Web

  • ryouchi
  • ベストアンサー率41% (52/125)
回答No.2

あと、構築するWebサーバのOSなどによっても、セキュリティの対策方法が違ってくるかと思います。 Linuxや、UNIXなどの系列と、WindowsNTなどでは、もちろん実装形態も違うでしょうし、Internetに直接接続するのか、上部のルータなどである程度IPフィルタリングや、ポートのフィルタリングをすることによっても相違があるかと思います。 もう少し具体的に状況を教えていただければ、なんらかのよい解決方法がみつかるかと思います。

shigechii
質問者

補足

すいません。説明不足でした。。 OSはWindows2000を考えています。 DMZ上に立てるつもりですが、 LANからは、SMTPしか通すつもりがないので。 (DMZ上には、メールサーバーもある。そこでのファイアーウォールが現在 SonicWALLです。) 現在のファイアーウォールの前にWebサーバー用のファイアーウォールを 設置するつもりです。 ですので、Webサーバーは、ファイアーウォールの2重化になる予定です。 ちなみに、上部ルータもあります。

  • kusukusu
  • ベストアンサー率38% (141/363)
回答No.1

こんにちは、くすくすです。 まずは、どのような構成でするおつもりでしょうか? OCNエコノミーですか? それとも、大企業の専用回線を使ったサーバーですか? または、個人のADSL等を使った、IPアドレスでアクセスするようなwebサーバーですか? それらによって、全然違ってくると思います。 #個人用に、何百万もするような物を勧めても・・・ また、どのくらいの予算をかけるおつもりでしょうか?

shigechii
質問者

補足

構成は、上記の方に補足として記載させていただきました。 個人用ではないのですが 学校のWebサーバーとしてwebサーバーを構築いたします。

  1. カテゴリ
  2. [技術者向] コンピューター
  3. ITシステム運用・管理
  4. ネットワーク

関連するQ&A

  • ファイアーウォールについて

    山田といいます。 はじめて投稿しますが、無知な点などあるとは思いますがよろしくお願いいたします。 ファイアーウォールの導入を検討しています。目的はファイアーウォール内部からhttp、ftp、POP,smtpを利用することと、外部から一切内部へアクセスできないようにすることです。 現在、上記目的を満たすよう、安価なダイアルアップルータ+Sonicwall(詳細はhttp://www.smisoft.ssd.co.jp/product/ss)というファイアーウォール製品の組み合わせで検討しております。 質問なのですが、当構成で強固なセキュリティ環境を構築できるでしょうか?Sonicwallの信頼性、安全性などご存知でしたらお教えください。また他にお奨めできる構成などありましたら教えて頂ければ幸いです。 以上よろしくお願いいたします。

  • ルーターとファイアウォール装置の違い

    現在の社内でファイアウォールはYAMAHAのRTX1000で行なっています。しかしこれだけではやはり不完全と思いSonicWallのようなきちんとしたファイアウォール装置を設置したいのですが、こういったものはルーターとはどう違うのでしょうか? 知人の会社のほとんどは、ルーターではなく、SonicWallやNetScreenでファイアウォールをしているということで、わが社でも導入したいのですが、会社の上層部を説得するにあたって何とせつめいすればよいかと・・・あとは自分の勉強のためにもと思います。 わが社は パソコン60台、サーバー3台、 テレコムさんの固定IPを使用しています。 5~6年前に私が入社する前に構築されたようです。 システム担当の割には初心者の質問で申し訳ないのですが 何卒よろしくお願い致します。

  • ファイアウォールとWEBサーバーの増設について

    サーバー構築でファイアウォールとWEBサーバーを負荷分散することがありますが、ファイアウォール、WEBサーバーを増設することによりどんな問題が解決するのでしょうか。例えばWEBへのアクセスが増えダウンするのを防ぐためとか。ファイアウォールを増設する時とWEBサーバーを増設する時ではどんな問題が解決するのでしょうか。

  • ファイアウォールでLINUX

    お世話様です。 弊社では5年位前にWindowsNTでインターネットサーバ(メールサーバ)を構築しました。もちろんファイアウォールもWindowsNTです。 現在、その構築をして頂いた業者から下記のことを提案されています 「Windowsのファイアウォールは出回りすぎて狙われやすい。セキュリティホールもよく見つかっている。そこでLINUXのファイアウォールに代えましょう!!」 という提案です。 業者の方は新人の営業であまりよくわかってんの??って感じだったんですが・・・私のほうの勉強も含めこの場で教えて頂きたいと思いまして・・・ linuxにすると先日のnimdaウィルスとかも防げるのですか?? 何がどうよくなるかがはっきり分かりません。 よろしくお願いします。

  • FireWallのCheck Point

    ファイアーウォールを構築するためにサーバを購入します。 ソフトはCheckPointを考えています。 マシンのスペックはどのくらいのを購入すればよろしいでしょうか? 特にメモリ数をお願いします。

  • ファイアウォールを無効にしても大丈夫?

    ウェブが毎日何時間かおきに切断されます。ネットがというより、ウェブ閲覧、メール意送受信のみがネットに繋ぐことが出来なくなります。ウェブはChrome、Internet Explorerとも見られなくなります。 再起動すれば正常に戻りますが、また何時間かしたら・・・ 再起動・・・ の繰返しです。 通信を必要とする電話アプリ(050plus)、ゲームアプリは切断されません。(ダウンロード中にウェブが見られなくなり、メール送受信が出来なくなってもダウンロードは終わらず継続されます) そこで調べたのですが、 PCセキュリティーの「Windows ファイアウォール」を無効にして、セキュリティソフトのファイアウォールを有効にすると改善される場合があるとのこと。 PCセキュリティーの「Windows ファイアウォール」を無効にしても大丈夫でしょうか? セキュリティーソフトはマカフィを使っています。そちらのファイアウォールを有効にしていれば問題ないのでしょうか? それともWindows ファイアウォール、セキュリティソフト(マカフィ)のファイアウォール両方有効でないと危険でしょうか? お詳しい方ぜひお教え下さい。

  • ファイアウォールについてお教えください

    初心者の質問ですみません。現在、CATVでインターネットをやっています。無線LANを構築してフォルダの共有をしたいのですがうまくいかず、ファイアウォールをはずせば共有できるようになりました。それはいいのですが、セキュリティーが心配ですのでファイアウォールのことを少し勉強しています。よろしくお願い致します。 (1) Windows XPにはいっているファイアウォールと、セキュリティーソフトにはいっているファイアウォールは同じことをやっているのでしょうか? (2) ファイアウォールについて、以下の理解でよろしいでしょうか? ・LANをやる前の状態は モデム→a→PC となっていて、PCの直前のaのところでファイアウォールが働いている。 ・LANを構築した場合 モデム→ブロードバンドルーター→a→PC1         ↓ 無線                 PC2 aでブロックされてしまうので、PC1とPC2の間でフォルダの共有ができないから、ファイアウォールをはずす。 ・ファイアウォールの機能はブロードバンドルーターについていて、下記のようにbのところでブロックされる。 モデム→b→ブロードバンドルーター→PC1         ↓ 無線         PC2 ・PC1とPC2間のやりとりのセキュリティーについても、ブロードバンドルーターについてきたユティリティで設定すれば大丈夫 (3) もし(2)の考えで正しいとすれば、フォルダの共有をしたい時には必ずファイアウォールをはずさないといけないはずだと思うのですが、フォルダの共有がうまくいかない場合、ファイアウォールが入っているための「可能性がある」というのが理解できません。

  • Server2003のファイアウォール設定について

    LAN内にあるサーバにアプリケーションからアクセスするための設定でファイアウォールで「例外」が設定されているか確認しようとしたのですが "Windows ファイアウォール/インターネット接続共有(ICS)サービスが実行していないため、Windowsファイアウォールを実行できません。(以下略)" というメッセージが表示されました。 これは ファイアウォールが実行されていないので、通信(パケット)制限がかかっていない、セキュリティ上ものすごく危険な状態ではないでしょうか? サーバ管理の担当もほぼ素人なので、状況が判断できていないようです。 なお、サーバのOSはWindows2003Server(Standerd)SP1 です。

  • ファイアウォールでも防げない攻撃

     インターネットセキュリティ関係の本を読んでるのですが、その中のファイアウォールの説明中で、ファイアウォールでも防げない攻撃があると書かれています。その本では、防げない攻撃として5つの例を挙げており、その中の一つに「公開されているWebサーバのうち、悪意のあるサイト」というのがあるのですが、これはどういう意味でしょうか?このようなサイトからはウィルスの侵入が考えられるということでしょうか?(ならば、アンチウィルスソフトをインストールしておけば、これに対しては安心という事でしょうか?)

  • 会社にADSL/公開サーバを構築するのですが・・・。

    会社にADSL8Mを引きweb、mail、DNSサーバを構築する予定です。 今のところ考えている構成ですが ルータ(planex:BRL-07DMZ)LANポート→LAN           搭載DMZポート→Web.DNS.Mail という構成です。 Web,DNS,Mailは中古PCを購入しlinuxで構築予定です。 ファイヤーウォールにsonicwall-PRO100を考えてみましたが それほどお金をかけることができません。使える機器費用は10~15万程度です。 公開サーバから社内サーバ(win2000サーバ)へのアクセスは考えておりません。 セキュリティ等をふまえこのような構築をしたい場合なにかお勧めの機器、 構成、アドバイスなど頂けたらと思います。末永くよろしくお願いします。

注目のQ&A

カテゴリ

専門家に質問してみよう

職業から探して質問する

あなたにピッタリな商品が見つかる! OKWAVEセレクト

質問する