- ベストアンサー
Firewallを導入する意味
- Firewall導入の要否を質問された友人に、Firewallを導入する意味について解説します。
- インターネット契約時のルータだけでも外からのアタックは防げますが、Firewallを導入する理由としては、内←→外へのアクセスの制限やDMZ上のWebサーバの公開などが挙げられます。
- Firewallを導入しない場合、LAN内のPCに不正アクセスされる可能性が高く、セキュリティ上のリスクがあります。
- みんなの回答 (3)
- 専門家の回答
質問者が選んだベストアンサー
その他の回答 (2)
- superside0
- ベストアンサー率64% (452/698)
ホームオフィスということは 家人が使うPCと 仕事で使うPCが 同一LAN上に混在するでしょうから ・マルウエア/ウィルス感染時の二次被害 ・家人が不用意に設置したWiFiアクセスポイントによる外部侵入 ・宅内からのファイル漏洩 など、発生する可能性があります。 仕事で使うLANに関しては、宅内からのアクセスをブロックするために、 FireWallで別セグメントにするというのは、 あっても当然かと。
補足
ありがとうございます。 確かに、ISPのルータではさすがにLAN側に複数セグメントを設定する事はできなそうですね。ただセグメント分けするとしたら、セグメント分けができる機器が必要なのであって”Firewall”が必要という理由にはならないですよね。 友人には「外部からの不正アクセスを防ぐためにもFirewall入れた方がいいよ」みたいな言い方をしたのですが少し弱いですよね。 「それだけならISPのルータでもできるじゃん」と言われたら、確かにそうだね、となりますので。
- Viartril-S
- ベストアンサー率32% (63/193)
ISP からの提供がルーターなのかモデムなのかによりますが、ルーターであってlan がわにプライベートip が割り当てられるなら、外から中への通信は制限されるでしょう。 F/wの利用価値ですが、中から外への不正な通信を防いだりできます。ランサムウエアのようなc&c通信などはispのルーターでは検知すらできませんし、レピュテーションによるアクセスのブロックもf/wの有効な利用です。 Pcにアンチウイルスが入っていれば、これらも要らないのではとよく思われますが、クロスプラットフォームによる検査は企業では普通にやっています。 この辺の気になる話は、「アンチウイルスは死んだ」でグーグル検索すると、シマンテックの記事がありますので、読んでみたらいかがでしょうか。
補足
ありがとうございます。 F/Wは外から内への不正アクセスを防止するもの(むしろ、F/Wじゃないと外からのアクセスをブロックできない!)というイメージでしたが、簡易的でよければそれはルータでもできますし、むしろ中から外への不正な通信の防止こそがF/Wの本質という所でしょうか。 多層防御は確かに企業では多いと思いますが、今回の場合個人のため、本人がエンドポイント部分だけのチェックでいいよ、という事であればF/Wの導入を強くおすすめする理由はない気がしてきました。
関連するQ&A
- ファイアウォールにおけるネットワーク分割
・ISPからの割り当て IPアドレス:202.xxx.xxx.96~111 ネットマスク:255.255.255.240(28ビット) 各ゾーンのアドレス ・WAN側:202.xxx.xxx.96/28(グローバル) 97~102をホストで利用可能 96はネットワークアドレス、103はブロードキャストアドレス ・DMZ側:202.xxx.xxx.104/29(グローバル) 105~110をホストで利用可能 104はネットワークアドレス、111はブロードキャストアドレス ・LAN側:192.168.1.0/24(プライベート) (1)ルータのNIC(ファイアウォールに対向する側)とファイアウォールのWAN側NICは、ISPから指定されたIPアドレスとネットマスクをそのまま使用 (2)DMZのネットワークアドレスは、WAN側よりマスクが1ビット長いものを設定。→割り当てられたネットワークの後半部分をサブネットとして切り出すため。 (3)ファイアウォールには、WAN側(96~103)宛てとDMZ側(104~111)宛てのパケットについて、それぞれルーティング設定をしておく。 (4)ルータには、202.xxx.xxx.96~111宛てのパケットについて、ファイアウォールのWAN側NICをゲートウェイとして転送するルーティング設定をしておく。 (4)は、ルータとDMZ側が同一ネットワークアドレスに属する(アドレスが同一とはどういうことか?)にもかかわらず、実際には同一ネットワークに存在しないために必要。この設定がないと、ルータは202.xxx.xxx.96~111宛てのパケットを直接転送する(直接とはどういう意味か?)ために、ARPによって転送先のMACアドレスを得ようとするが、これはDMZ側アドレスに関しては失敗する(なぜ失敗するのか?)ため、通信不能になる。 ()の疑問について教えていただけると助かります。
- ベストアンサー
- ネットワーク
- ファイアウォール・・・
教えてください。 ルータのWAN側はISPよりグローバルアドレスを動的に取得します。LAN側には、たとえば192.168.10.1のプライベートアドレスを振ります。またルータでNATを有効にします。 ルータの下部にファイアウォールを置き、WAN側に192.168.10.2をLAN側には192.168.200.1を振り、セグメントを分け、ファイアウォールでもNATを有効にします。 このような場合、192.168.200.0のネットワーク内のPCのデフォルトゲートウェイは192.168.200.1でよいのでしょうか。 また、このような構成で外部(インターネット側)との通信は出来るでしょうか。ファイアウォールは、外部との通信を許可してます。
- 締切済み
- その他([技術者向] コンピューター)
- ルータとファイアーウォール
私の自宅ではルータ一台をWAN側(インターネット)に接続し、それにLinuxPCとWindowsPCを一台ずつ接続しています。 疑問に思ったのですが、ルータとファイアーウォールはパケットフィルタリングする部分では一緒ですよね。 では私のこの環境ではPCにファイアーウォールを導入しなくてもいいのでしょうか? 私の考えでは内部からの不正アクセスを防ぐためには必要だと思うのですが、自宅では一人暮らしで内部からの不正アクセスの危険性は皆無なので必要ないと思うのですが、どうなんでしょう。 ちなみに使っているルータはBUFFALOのWZR-RS-G54です。Linuxでは外部向けにWEBサーバを公開しています。
- 締切済み
- ウィルス・マルウェア
- ネットワーク設定がわかりません・・・
ネットワーク初心者です。勉強のためDDNSで固定IPを持たず自宅WEBサーバを立てています。 固定IPを持っていないので、下図【現在の構成】のように、インターネットからWEBサーバへのアクセスは、DDNSとルータのポートフォワーディング機能で、プライベートアドレスのWEBサーバに転送されるようにしています。 そしてこの度、興味からファイアウォール(Fortigate60)を購入し、下図【将来の構成】のような構成にしたいと思っています。 固定IPを取得すれば簡単だと思いますが、でもこのまま固定IPは取得せず今まで通りDDNSで運用してみたいのです。 そのような場合、ルータ、ファイアウォール、及びPCやWEBサーバにはどのようなネットワーク設定をしてやればよいのでしょうか? ルータにもファイアウォールにもポートフォワーディング・ルーティング機能があり、どのようにIPアドレス、ゲートウェイアドレス、ポート転送、静的ルーティング等の設定してやればよいのか、複雑でよくわからなく困っています。 【現在の構成】 Internet-[ADSLモデム付ルータ]-[HUB]-[PC] | [WEBサーバ] ・ルータ(AtermDR202)のLAN側は192.168.0.1です。 ・LAN側の機器には全て192.168.0.Xを割り当てています。 ・PC、WEBサーバ用PCのデフォルトゲートウェイ設定は192.168.0.1です。 ・ルータはPPPoEブリッジの機能有 【将来の構成】 Internet-[ADSLモデム付ルータ]-[F/W]-LAN側:PC | DMZ側:WEBサーバ ・ファイアウォールは LAN側ポート×4、WAN側ポート×2、DMZポート×1 を備えています。 ファイアウォールを設置する意味など、ツッコミどころはあるかもしれませんが、どうぞよろしくお願いします。
- ベストアンサー
- ネットワーク
- ファイアーウォールを越えてバックアップするには?
DMZ側のサーバから、ファイアーウォールを越えてLAN側のマシンにバックアプするには、ファイアーウォールの設定をどうしたらよろしいでしょうか?
- 締切済み
- ネットワーク
- 無線LAN導入にあたり
お世話になります。 現在は ADSLモデム(ルータ付)-PC(有線)で繋がっています。 無線LANを導入したいのですが 1.ADSLモデム(ルータ付)-無線LANルータ -PC(無線) となる場合(2重ルータ)、ADSLモデムをブリッジ接続するとグローバルIPが無線LANルータのWAN側となり、PCはDHCPで接続できるのでしょうか?? 2.ADSLモデムのルータ機能を使い、無線LANをアクセスポイントとして使う場合 ADSLモデムのDHCPで無線LANアクセスポイント以下のPCはIP自動取得で繋がるのでしょうか??それともADSLモデムのLAN側を192.168.1.1、アクセスポイントのWAN側を192.168.1.1としアクセスポイント以下のPCはどのようなIPが振られるのでしょうか? 3.アドホック通信というものがありますが、メリットを教えてください。 長くなりましたが宜しくお願いします。
- ベストアンサー
- デスクトップPC
- ルータのルーティングテーブル
こんにちは ルータのルーティングテーブルについて質問ですが、 ルータのルーティングテーブルはどのような構造になっているのでしょうか。 たとえば ルータLAN側のIPが192.168.0.1 PCが192.168.0.2 ルータのWAN側が150.10.10.10 だった場合にPCから150.10.10.10にアクセスすると ルータの設定画面にいきます。 このときルータはどのように処理してルーティングテーブルを参照しているのでしょうか。 よろしくおねがいします。
- ベストアンサー
- ネットワーク
- ファイアウォールについて
現在、ブロードバンドルータを介してインターネット接続しています。ソフトウェアファイアウォールはインストールしていません。 そこで質問なんですが、自宅サーバーなどを立てずに、上記のような環境でインターネット接続のみでの利用においてもファイアウォールは導入すべきなのでしょうか?もちろん、あればセキュリティ上にも有利だとはおもいますが。 ルータでのパケットフィルタリングでも十分な気がしますので・・。皆さんのご意見をお伺いさせてください。
- ベストアンサー
- その他(インターネット接続・通信)
- SonicWALL DMZではまっています。
SonicWALL DMZについて質問します。 LAN,DMZ,WANにそれぞれ、端末・ルータを接続しました。 DMZ側からWANにpingは通ります。また、WAN側からDMZにpingが通ります。 ですが、LANに接続されたローカルアドレスの端末からDMZ側にあるDNSサーバやWWWサーバに接続しようとしても、接続できない旨のメッセージが表示されます。 なお、設定は、ほとんどしていません。(とはいいましても、マニュアル通りのことはしてあります。) また、ファームウェアは4.1.1を使用しています。 どのようにすればLANからDMZもしくはWANに出られるのでしょうか。
- 締切済み
- その他(インターネット接続・通信)
- Redhat7.3でDMZ構築
Redhat7.3を使用して、以下のようにNIC3枚でDMZを構築しようとしています。 WAN | Linux -WWW(DMZ) | LAN 仮に以下のようにIPを設定します。 ・WAN側ネットワーク 172.31.0.0/24 ・eth0(LAN) 192.168.1.1 ・eth1(WAN) 172.31.1.10 ・eth2(DMZ) 172.31.1.11 ・WWW(DMZ内に設置) 172.31.1.12 このとき、以下のような状態になってしまいます。 ・WAN側からWWWにアクセスできない。(pingが通らない) ・WAN側からeth1,eth2へはpingが通る。 ・LinuxからWWWへはpingが通る。 WAN側からWWWにアクセスできるようにするには、どのような設定をすべきでしょうか? 上記の構成以外にも、DMZ側とWAN側が同一セグメントになるような設定があれば、そちらも検討したいので、ご教授願います。
- ベストアンサー
- ネットワーク
- FMVU1400PZの最大メモリ容量はいくつか確認できませんでした。
- FMVU1400PZの最大メモリ容量を拡張したい場合、製品ガイドやIO DATAの対応商品検索システムでは詳細な情報が得られません。
- FMVU14001では最大容量が12GBとなっていますが、FMVU1400PZについては詳細な情報が不明です。
お礼
ありがとうございます! 大変よくわかりました。自分でもある程度整理できました。