ファイヤーウォールの設置について

大学内(ＬＡＮ回線)で、WWWサーバーを立ち上げています。
学内に入る際にもファイヤーウォールがあるのですが、
立ち上げているサーバーの前にもファイヤーウォールを
設置しようと言うことで検討しています。
ファイヤーウォール専用機を用いる場合、ブロードバンド
ルーターを用いる場合、ソフトウェアを用いる場合が
あるようなのですが、それぞれのどの程度のセキュリティに
なるのか、効果やデメリット等を教えていただけないでしょうか？
ちなみに、サーバーはＮＴ４．０で立ち上げており、
アップデートなどは行っております。

ベストアンサー 回答No.1

Firewallをサーバーの前に設置するというのはどういう目的なのでしょう？
基本的に、Firewallとは、「ローカルネットワーク」を保護する目的で使われます。
つまり、外部に対してオープンにする必要のあるサーバーであればfirewallは邪魔なだけです。

学外－firewall[1]-学内LAN-firewall[2]-個別LAN-問題のサーバ

という構成で、学内LANからの侵入に対しても個別LANとそのLANにつなげるサーバーを保護するという意味であれば理解できます。
もちろん上記構成では問題のサーバにアクセスできるのは個別LAN内のＰＣからのみになります。
もし問題のサーバを学内のLANからアクセスしたいのであれば、firewall[2]の外、つまり学内LANに直接つなげる必要があります。
つまりfirewall[2]設置の意味はありません。

防護壁の強さでは、専用機がもちろん一番強固です。ルータの場合もある程度までは防御できますが、あまり細かくフィルタリングすると速度が犠牲になりますので限界もあります。
市販のブロードバンドルータでは特別フィルタリング機能がついているわけではなく、NAPT（IPマスカレード機能）が簡易的なfirewallの機能を果たしているだけというものも数多くあります。

基本的にWWWサーバのセキュリティをあげるのは、そのサーバ自身の不要なポート、サービスの停止、稼動させるWWWソフトのセキュリティホールをきちんとつぶすことなど地道に行う必要があります。
（WWWサーバーでMicrosoft Networkの共有サービスが動いていたり、不要なアカウントがあったりするのは論外）
私はUNIX系しかサーバを立てたことがないので、NTの持っているセキュリティホールに何があるのかは存じませんが、色々あるみたいですね。

WWWサーバに万一進入された場合でもローカルLANを守るために、WWWサーバとローカルLANの間にfirewallを設けることも行われることがあります。

お礼 2003/02/12 20:12

ありがとうございました。参考になりました。