- ベストアンサー
ルーターとファイアーウォールソフトについて
- ファイアーウォールソフトとルーターの違いとは?外部からの進入をルーターが具体的に防止
- ファイアーウォールソフトはPCへのアクセス制御、ルーターはIPアドレスの隠蔽と進入防止
- サーバー公開にはルーターとウィルスソフトの組み合わせでも安全か
- ウィルス・マルウェア
- 回答数2
- ありがとう数3
- みんなの回答 (2)
- 専門家の回答
質問者が選んだベストアンサー
ルータの場合はアクセスを防いでいるわけではないです。 その仕組み上、特別な設定をしない限り内部へのアクセスができないだけです。 これが外側からのアクセスに対してファイアウォールのような役割をしているわけです。 では、その特別な設定とは何かというと一般にポート開放、静的マスカレード変換などと呼ばれるものです。 IPアドレス以外にもポートという概念があります。 1つのサーバ内にWEBサーバとFTPサーバがあった場合に WEBサーバは80番ポート、FTPサーバは22番ポートとします。 このようにしてポートと呼ばれる概念を導入することで1つのIPアドレス上で複数のサービスを提供できます。 通常は相手にアクセスする場合にIPアドレスだけでなくポートも指定してアクセスします。 さて、ここでルータを介するとポートはどのように扱われるかという話に至ります。 たとえばルータの外側のIPアドレスの80番ポートに対してアクセスしたらどうなるでしょう? 答えは簡単で、ルータでは80番ポートでなんのサービスも提供していないのでリクエストを破棄します。 これが外側からの通信を受け付けない、侵入されないということにつながります。 これに対してポート開放などの設定を行うことでルータの外側のIPの80番に通信が来た場合に ルータ内部の特定のPC(たとえば192.168.1.11など)に通信を転送することができます。 また、ルータ内部から外側への通信は基本的には遮断されることがありません。 ルータによってはパケットフィルタと呼ばれる簡易のフィルタリング機能が存在します。 これによって外側への通信を遮断することができます。 仕組みについてはこのような感じですね。 個人で使用するようなルータ(~2万円)内部でサーバを建てる場合は ルータをファイアウォールと考えて内部で対策をしないのはお勧めしません。 家庭用に販売されている安価なルータに使用されているファイアウォール機能は 簡易的なものでありファイアウォールソフトの性能には及びません。 また、安いルータの数少ないリソースにフィルタリングを割り当ててしまうと 設定の仕方によってはルータが不安定になりルータ内のネットワークが不安定になります。 たとえば大量のフィルタリングルールを設定するとルータが処理しきれないなどですね。 それよりはサーバ側にファイアウォールを入れてサーバ側のリソースを使用して ファイアウォールを動かすことをおすすめします。
その他の回答 (1)
- aigaion
- ベストアンサー率47% (287/608)
Apache がHDDの中で外部のユーザに見せるべきデータとそうでないデータをきちんと区別しています。 もちろん、その見せるべきデータとそうでないデータの定義は管理者が与えます。 しかしながら絶対安全というわけでもありません。 apache も人の作ったプログラムですからバグがあります。 そのバグを利用してサーバ内のデータを盗み見られたりする可能性があります。 そのようなバグは開発者によって修正され最新のバージョンのapacheが常に公開されています。 サーバを管理するのであればサーバにインストールしているソフトの脆弱性の情報は常にチェックし バグが修正されたバージョンがあるならできうる限りそれに更新を行います。 ファイアウォールはそこまでは監視してくれません。 不正にデータが読みだされていないかは apache のアクセスログを見て管理者が判断を行います。 これ以上の疑問が出るのであれば、新しくトピックを建てることをおすすめします。
お礼
ご回答有難う御座います。 今回のご回答で十分に納得できました。サーバーを立てる前に疑問が解消できて、本当に良かったです。 HPも以前から公開したいと思っていましたので、実際に公開する際には慎重に行いたいと思います。 有難う御座いました!
お礼
大変詳しいご回答、有難う御座います。 >通常は相手にアクセスする場合にIPアドレスだけでなくポートも指定してアクセスします。 というご説明で、すごく理解を深められました! ルータそのものに対しては外から幾らでもアクセスできる。 ↓ 非固定であってもドメイン解決が出来ていればその固体であるPC(ルータ)にはアクセス出来る訳なんですよね?しかしその内部へのアクセスとなるとポート番号も指定する必要があり、ルータはその番号のポートを隠すことで物理的な遮断をしているという事ですか!確かにルータでポートの開閉を設定する‥となっていますね。(デフォルトは基本的に全遮断ですもんね ^^) ルータの外部や内部のIPアドレスが想定できたとしても実際に進入できない構造が実感できました。 ルータって電磁開閉器みたいに、内部で実際に電極を外したり繋いだりしている訳じゃなく、信号としての開閉なんですね。だから無理な設定にすると電気的な動作が不安定になると‥。ルータの構造を完全に勘違いしていました(汗; また、ファイアーウォールとしてルータだけに頼れない事情も理解できました。 もしかしたら参考書にも同様の説明があるのかも知れませんが、聞きたい事だけに着目して書かれてないように思ったので、お聞きして良かったです! 初心者にも程があるかも知れませんが(笑)、本当に有難う御座いました!
補足
済みません!可能であれば更にお聞きしたいのですが。 ウェブサーバーをApacheを予定しているのですが、どのウェブサーバーを使うかは別にして、サーバーを公開する訳ですので例えば80番ポートを開放して外側からサーバーにアクセス出来るようにしたとします。 この時、そのサーバーを経由してサーバーをインストールしているハードディスク自体に進入(同じHDDの他のデータを読まれるような事)されてしまうような事は無いのでしょうか? ファイアーウォールソフトを導入したとして、ファイアーウォールソフトでサーバーソフトを監視出来たとしても、当然サーバーはアクセス許可にしますよね? では、そのサーバーソフトやサーバーの公開用フォルダを伝ってハードディスク自体のデータを調べられるような恐れは無いでしょうか? これって自分が知らないだけで、ファイアーウォールソフトはHDDを外部から調べていないか等も監視しているって事ですか? もしくは、リモートデスクトップと同じような話??? なんだか段々素人の妄想のような発想になってしまいましたが、サーバー管理者などはこのような点をどう解釈されているのでしょうか? 出来れば教えて頂けると大きな安心材料になります。