• ベストアンサー

ファイアー・ウォールについて教えてください

ファイアー・ウォールの設定に穴を開けるとどのような危険性があるのでしょうか?(ファイアー・ウォールを通過できるサーバを増やす等) 無差別に通しているわけではないのだから、通過できるサーバを一台くらい増やしてくれればいいのにと思ってしまいます。 元の役割をいまいち理解していないからこのような疑問が湧いてしまうと思います。 どなたか、教授お願いいたします。

質問者が選んだベストアンサー

  • ベストアンサー
  • ken2
  • ベストアンサー率36% (86/235)
回答No.5

ここらへんがDBを使用する公開アプリケーションサーバーをどこへおくのかという論争になる部分ですね。DBサーバーをDMZ(公開部分)でなく内部に置いておきたいのは当然の心理ですが、DMZにおいてあるWEbサーバーから内部のDBサーバーに接続できるということは、WebサーバーがDBサーバーへのクライアントとしてDMZから内部ネットへアクセスしてくることを意味します。Firewallの基本は、外から中へはアクセスさせないというのが基本です。ですから外からアクセスする(外へ公開する)ものは、DMZ等外へおくわけです。なのにDBサーバーを内部に置くということは、外部から内部への穴をあけてしまうということになります。つまり外から中へ入ることのできる道を作ってしまうということなのです。最悪の依場合、外部からDBサーバーを踏み台として内部へ侵入することが可能であるということです。 ということで、この場合は、DBサーバーを外へ出すということが1つの回答となるでしょう。Webサーバーと同じところに置くということです。 この場合注意しなければならないことは、DBサーバーのセキュリティ確保を行うことと、DBの中身は、公開するデータのみにするということです。 もちろんインターネットから直接そのDBサーバーへのアクセスポートは、許可してはいけません。¥

bunraku77
質問者

お礼

とても参考になりました。 ありがとうございました。

その他の回答 (5)

  • gold8
  • ベストアンサー率31% (60/191)
回答No.6

なぜポートを開放することをいやがるかというと、Windows にしても、UNIXにしても、サーバを起動するとき、そのサーバに不必要なサービスをそのまま開放しているケースがあまりにも多いのが現状で、そのことが原因でサーバの乗っ取りやワームの拡散がいともたやすくできてしまうからです。穴をとおすということは、まず第一条件としてそのサーバから、別のサーバへ経路を新規に作成することですからね。 あとは、FireWall といのはある程度不正アクセス、なりすましには効果はありますが、万能ではありません。(昨年の Nimda なんかを例にとれば、HTTP:80を狙って攻撃したものですからな。)

  • kusukusu
  • ベストアンサー率38% (141/363)
回答No.4

弊害については皆さんが色々と「ご教示」されているようなので、ちょっと趣向を変えましょう。 通常の、DBサーバーとWebサーバーがともにグローバルアドレス上に、公開されているとします。 その場合、WebサーバーからDBへの書き込み要求が出たとき、 #ポート番号や細かい点は気にしないでください(^^; ---------- web Server ----------   ↓ポート5432を開けろ~ ---------- DB Server ---------- ん?こいつに(IPアドエスを見て)開けていいのかな・・ 調べる・・・・うん、大丈夫だ! と判断してポートを開きます。 さて、今度はWeb→FW→DBとなる場合を考えてみましょう。 --- Web --- ↓ポート5432を明けろ~ --- FW --- 5432への要求?聞いてないよ・・・だからだめ! ↓・・・・・ --- DB --- となり、DBへは要求は伝わりません。 ゆえに、FWに、input、forward の2つでポートを開かなくてはなりません。 *外からDBを閲覧したい場合や、書き込みを確認したい場合はoutputも開く で、管理者には、どうしてそのポートを開けるのがイヤなのかを問いただせばいいと思います。 # 私としては、FWに開ける穴は、別に80である必要はないと思いますよ。

bunraku77
質問者

お礼

FW有り無しの違いを解りやすく「ご教示」して頂いて、ありがとうございました。

  • Pesuko
  • ベストアンサー率30% (2017/6702)
回答No.3

WEBサーバーから書き込むということはインターネットからイントラネットサーバーに接続できると言うことで、これは危険極まりないから、うちの会社なら絶対に許可しません。 WEBサーバーからインターネット経由でイントラネットサーバーに接続なんてほとんど無差別ですよ。

bunraku77
質問者

お礼

ご指摘ありがとうございました。 セキュリティポリシーの勉強に励みます。

  • Spur
  • ベストアンサー率25% (453/1783)
回答No.2

私は「教授」ではありません。日本語は正しく使いましょう(笑) ファイアウォールは何のためにあるのですか? 外からの侵入を防ぐためですよね? だったら、穴をあければ、どんどん入ってきてしまますよね? 穴を全部ふさいでしまったら自分も外に出られないので、最低限必要なものはあけますね? でも、穴をたくさんあければあけるほど外からは侵入しやすくなりますよね? ただそれだけのことです。 80と443は仕方が無いのですが、それ以外のポートやftp、telnetなどは普通嫌がります。

  • Pesuko
  • ベストアンサー率30% (2017/6702)
回答No.1

会社などで管理者に拒否されたのでしょうか。 >ファイアー・ウォールを通過できるサーバを増やす これの意味が解りません。 たとえばWEBサーバーを通すのならポート80を開けますが、80ポートを開ければすべての80を利用しているWEBサーバーが通過できるはずです。 特定のサーバーが特定のポートを開けるように要求しているのでしょうか? その場合、そのポートを空けることによりサーバー以外のリクエストで、外部から侵入できる可能性がある場合、管理者はそのポートを開けません。

bunraku77
質問者

補足

すいません。わかり辛かったですね。 具体的にいうとインターネット上で公開しているWebサーバ上のプログラムでイントラネット内のDBサーバにデータを書き込みたいのですが、ファイアー・ウォールの制限によりアクセスできません。 これを可能にするには、ファイアー・ウォールでどのような設定が必要になりますか?また、それに伴いどのような危険性が考えられますか? というのを教えていただけると助かります。

  1. カテゴリ
  2. [技術者向] コンピューター
  3. ITシステム運用・管理
  4. ネットワーク

関連するQ&A

  • 常時接続でファイアーウォールがないとどうなりますか?

    当方の環境はCATVで、DHCPサーバーが接続された各々のPCにアドレスを振り分ける形です。モデムからハブ(ルーターではなく)を通して数台のPCに繋がっています。各パソコンはLAN接続していません。プリンターも共有していません。 私のパソコンと家内のパソコンがあるのですが、家内はファイアーウォールの設定が煩わしくてファイアーウォールをアンイスンストールしてしまいました。 常時接続でファイアーウォールもなく、ルーターもないとなるとかなり危ない気はするのですが、実際に危険だと言われているその危険度合いとはどの程度のものでしょうか? 私は、何か障害が起こり本人がセキュリティの大切さに目覚めてくれればそれでも良いかなぐらいに考えています。 どういった時にその危険を察知するものでしょうか? 起こりうる障害を教えてください。

  • ファイアーウォール

    ファイアーウォールには、2つの種類があるかと思います。 1.ソフトウェアとしてのファイアウォール(ZoneAlarm、Personal Firewall 等) 2.ハードウェアとしていくつかの企業が提供しているファイアウォール(KDDI、セコム 等) 上記2点で、企業サーバーは「2」を利用している場合がほとんどかと思います。理由は強固であるとか24時間監視体制だとか。 そこで質問ですが、「1」より「2」の方がすぐれているのはわかるのですが、どこがどのようにすぐれているのかが明確に理解できません。 「1」だとすぐに「クラック」される、「2」だから大丈夫というわけでもなさそうです。  どなたかわかる方がいらっしゃいましたら、教えて頂けますようお願い致します。

  • ルータとファイアーウォール

    私の自宅ではルータ一台をWAN側(インターネット)に接続し、それにLinuxPCとWindowsPCを一台ずつ接続しています。 疑問に思ったのですが、ルータとファイアーウォールはパケットフィルタリングする部分では一緒ですよね。 では私のこの環境ではPCにファイアーウォールを導入しなくてもいいのでしょうか? 私の考えでは内部からの不正アクセスを防ぐためには必要だと思うのですが、自宅では一人暮らしで内部からの不正アクセスの危険性は皆無なので必要ないと思うのですが、どうなんでしょう。 ちなみに使っているルータはBUFFALOのWZR-RS-G54です。Linuxでは外部向けにWEBサーバを公開しています。

  • Server2003のファイアウォール設定について

    LAN内にあるサーバにアプリケーションからアクセスするための設定でファイアウォールで「例外」が設定されているか確認しようとしたのですが "Windows ファイアウォール/インターネット接続共有(ICS)サービスが実行していないため、Windowsファイアウォールを実行できません。(以下略)" というメッセージが表示されました。 これは ファイアウォールが実行されていないので、通信(パケット)制限がかかっていない、セキュリティ上ものすごく危険な状態ではないでしょうか? サーバ管理の担当もほぼ素人なので、状況が判断できていないようです。 なお、サーバのOSはWindows2003Server(Standerd)SP1 です。

  • PSPとファイアウォールについて。

    PSPでインターネット接続させる時にWINDOWSのファイアウォールで引っかかってしまいます。。。 使用している機材は 無線lan USBアダプタ PSP1000 でWI-FI接続なんですが WINDOWSにて導入したソフトウェアはファイアウォール設定の例外設定で許可してるのですが・・・ セキュリティーソフトは導入していません。 WINDOWSのファイアウォールを無効にするとPSPでインターネットに接続できるのですが。 ファイアウォールを許可にするとDNSで引っかかるみたいなんです。 私自身あまり状況が理解できていないので上手い説明ができないのですが、PSPがWINDOWSにハジかれるとでも言いましょうか・・・ どうにかファイアウォールを無効にせず、通過させる方法はないのでしょうか・・・・

  • インターネットの共有とファイアーウォール

    こんにちは。 いろいろ調べたんですが、自分なりの結論が出ないので質問します。 2台のPCをストレートケーブルでつないでおります。 インターネット、プリンタ、フォルダ共有しています。 このままでは充分キケンなのでファイアーウォールをと思ってますが、サーバー側(ホスト側)にファイアーウォールで基本的にいいのですか? その場合、IPアドレスの固定も必要ですよね。 そうすると、インターネットの共有は、だいぶ複雑になるのでしょうか?  お教えください。OSは2000です。

  • キングソフトのファイアウォールについて

    検索したのですがわかりませんでしたので質問させていただきます。 シャープの複合機MX2310Fを使用しており、 パソコン複数台でネットワークスキャナーを使っていましたが昨日から 急に使えなくなりました。 ウィンドウズファイアウォールとキングソフトのファイアウォールに スキャナーに必要なスキャナーツールのftpサーバーを両方のファイアウォールに 例外設定をしています。 使えなくなっていた内の一台はウィンドウズファイアウォールが引っかかっていた事が わかりましたが、もう一台はキングソフトのファイアウォールを無効にすると 使えます。 しかし、同じソフトを使用し、同じ設定でなぜできるできないがあるんでしょうか? 違うのはOSだけです。 キングソフトを切らなくてもできるのはxpで不可能な方がWin7です。 OSのファイアウォールの設定もキングソフトの設定も同じようにしたのになぜでしょうか? 逆に使えない7のファイアウォールを無効でキングソフトを有効でも使えず原因は キングソフト側だと思うのですが、使えなければ無効にしていれば いいのですが、 なぜ違いがでてくるのか教えてください。 又、 キングソフトを無効にしなくてもできる方法があれば教えてください。 なぜ使えていたのに急につかえなくなったのかも気になります。。。

  • Firewall-1のアドレス変換について

    現在、Firewall-1 Ver4.1の設定で悩んでいます。 DMZセグメントにプライベートアドレスを付与したサーバを設置し、グローバルアドレスのNAT変換を使用して、外部に公開したいと思っています。オブジェクトの設定でスタティックなNATの設定をしましたが、インターネットからアクセスできません。サーバでsnoopしてみてもパケットがサーバまで届いていないようです。 Firewall-1 ver3.0のWindows版では、たしかオブジェクトにNATの設定をするだけではだめで、ARP解決用のファイルを作る必要があったかと思うのですが、Ver4.1でも、ARP用に何か設定は必要なのでしょうか? 以上、ご教授ください。

  • ファイアウォールの動作

    CATVネットにて常時接続環境になってから1年半経っています。マカフィーのファイアウォールは5月より導入したのですが、1時間に1~2回くらいはファイアウォールが阻止しています。そのたびに警告をポップアップするように設定していたのですが、あまりに頻繁なのでポップアップしないように設定しました。 だいたい1日に3~4時間はパソコンを立ち上げていますが、HackerWatch.orgにイベントを報告した数はすでに1ヶ月半で350を超えています。みなさんの環境ではどのくらいの割合でファイアウォールが動作・阻止しているか教えてください。 また、具体的な動作と危険性がイマイチ分からないのですが、ポート80と1433に接続しようとするものが一番多いです。具体的にどのくらい危険なものなのかも教えてください。 ポート80はトロイの木馬がスキャンされた可能性があり、1433に関しては通常Microsoft SQL Serverが使用します、と解説されています。

  • Windows Server 2003のポリシーで、端末のWindowsファイアウォールを無効にする設定

    お世話になっております。 ご教授ください。 ドメイン参加しているクライント全部のWindowsファイアウォールを無効にするしたいのですが、Windows Server 2003のポリシーで一気にしたいと考えてますが、可能でしょうか? また、可能なら、どこで設定すればよいでしょうか。 ご教授いただければと存じます。 Windows Server 2003のポリシーで、Windowsファイアウォールを無効にする設定

注目のQ&A

カテゴリ

専門家に質問してみよう

職業から探して質問する

あなたにピッタリな商品が見つかる! OKWAVEセレクト

質問する