-PR-
解決済み

ファイアーウォール

  • すぐに回答を!
  • 質問No.64452
  • 閲覧数149
  • ありがとう数2
  • 気になる数0
  • 回答数5
  • コメント数0

お礼率 64% (60/93)

Webサーバーを構築しようと考えています。
セキュリティーには、ほとんど素人です。
そこで、ファイアーウォールを何にするか考えています。
Sonicwallより、いい物を購入したいのですが。
何がどの様にいいのかがわかりません。
どなたか教えてください。
通報する
  • 回答数5
  • 気になる
    質問をブックマークします。
    マイページでまとめて確認できます。

質問者が選んだベストアンサー

  • 回答No.5
レベル11

ベストアンサー率 38% (141/363)

おはようございます。
やっと、構成が分かりました。
他の方の意見も欲しいのですが、私の意見で言えば
全く意味がないと思います。

話を単純にするため、現在の構成ではポート25,110
以外を解放していないとします。

#DNSやsshなどは動いていないと仮定すると言うことです。

外部からの進入だけを考えた場合、現在ではSonicによって、25,110以外ははじかれます。
同様に、LANのセキュリティレベルも同じになります。

また新たなサービス(今回はhttpdですね)を追加すると言うことは、
基本的にセキュリティレベルは下がると言うことです。
当然、WEBサーバーを外部に公開するには、その通り道の全ての機器の80を解放しなくてはなりません。
故に、Sonicも80を解放することになります。

予定構成では、NFWはWEBサーバーのみを保護することになります。
NFWが無い場合WEBサーバーもSonicのセキュリティレベルと同様になります。
つまり、25,80,110を解放していることになります。
NFWをその位置に導入する理由として、WEBサーバーによけいな穴をあけたくない(25,100をつぶしたい)と言うのであれば、意味が分かりますが、それにどれほどの理由があるのかは私には分かりません。
単純にサーバー側で塞げば終わりというような気がします。

そこで、どうしてもNFWを入れたいのであれば、以下のようにしてはいかがでしょうか?

router
|
Sonic
|
WEB,Mail
|
NFW
|
LAN

これであれば、NFWを導入する意味合いが分かります。
グローバル(WEB,mail)とローカル(LAN)のセキュリティレベルを分け、立派にDMZにグローバルサーバーをおくことになると思います。

ただ!なぜこれを強くお勧めしないかというと、最近のルータであれば、わざわざFW専用機を導入しなくても、かなりのセキュリティレベルを維持することができると思うからです。

無駄な投資をせずに
#デフレの今、是非買いましょう!と言った方がいいのでしょうが(^^;
現在ある物で、強化してみてはいかがでしょうか?

最後にFWは専用機でなければいけないと言うわけではありません。
もし、現在は利用していない古いマシン
(ペンティアム100程度で十分です)
があれば、それにPC-UXIXを入れて、設定すれば、専用機と比べても劣らないような立派なFWができます。

もし時間があれば、勉強してみてください。
それでは
お礼コメント
shigechii

お礼率 64% (60/93)

すいません。ありがとうございます。
上司の話し合いもう一度考え直してみます。
また、伺うかもしれませんが、よろしくお願いいたします。
投稿日時 - 2001-04-18 16:58:55
関連するQ&A
-PR-
-PR-

その他の回答 (全4件)

  • 回答No.1
レベル11

ベストアンサー率 38% (141/363)

こんにちは、くすくすです。 まずは、どのような構成でするおつもりでしょうか? OCNエコノミーですか? それとも、大企業の専用回線を使ったサーバーですか? または、個人のADSL等を使った、IPアドレスでアクセスするようなwebサーバーですか? それらによって、全然違ってくると思います。 #個人用に、何百万もするような物を勧めても・・・ また、どのくらいの予算をかけるおつもりでし ...続きを読む
こんにちは、くすくすです。
まずは、どのような構成でするおつもりでしょうか?
OCNエコノミーですか?
それとも、大企業の専用回線を使ったサーバーですか?
または、個人のADSL等を使った、IPアドレスでアクセスするようなwebサーバーですか?

それらによって、全然違ってくると思います。

#個人用に、何百万もするような物を勧めても・・・

また、どのくらいの予算をかけるおつもりでしょうか?
補足コメント
shigechii

お礼率 64% (60/93)

構成は、上記の方に補足として記載させていただきました。
個人用ではないのですが
学校のWebサーバーとしてwebサーバーを構築いたします。
投稿日時 - 2001-04-17 10:37:27


  • 回答No.2
レベル10

ベストアンサー率 41% (52/125)

あと、構築するWebサーバのOSなどによっても、セキュリティの対策方法が違ってくるかと思います。 Linuxや、UNIXなどの系列と、WindowsNTなどでは、もちろん実装形態も違うでしょうし、Internetに直接接続するのか、上部のルータなどである程度IPフィルタリングや、ポートのフィルタリングをすることによっても相違があるかと思います。 もう少し具体的に状況を教えていただければ、なんらかのよい ...続きを読む
あと、構築するWebサーバのOSなどによっても、セキュリティの対策方法が違ってくるかと思います。
Linuxや、UNIXなどの系列と、WindowsNTなどでは、もちろん実装形態も違うでしょうし、Internetに直接接続するのか、上部のルータなどである程度IPフィルタリングや、ポートのフィルタリングをすることによっても相違があるかと思います。
もう少し具体的に状況を教えていただければ、なんらかのよい解決方法がみつかるかと思います。
補足コメント
shigechii

お礼率 64% (60/93)

すいません。説明不足でした。。
OSはWindows2000を考えています。
DMZ上に立てるつもりですが、
LANからは、SMTPしか通すつもりがないので。
(DMZ上には、メールサーバーもある。そこでのファイアーウォールが現在
SonicWALLです。)
現在のファイアーウォールの前にWebサーバー用のファイアーウォールを
設置するつもりです。
ですので、Webサーバーは、ファイアーウォールの2重化になる予定です。
ちなみに、上部ルータもあります。
投稿日時 - 2001-04-17 10:34:17
  • 回答No.3
レベル11

ベストアンサー率 38% (141/363)

こんにちは まだ、ちょっと構成がよく掴めていないのですが、 現在 router    |   | Sonic--Mail   |   | LAN 予定 router   |   | Sonic--Mail    |    | NewFireWall--Web    |    | LAN と、こんな風に直列に並べたいと言うことですか? ...続きを読む
こんにちは
まだ、ちょっと構成がよく掴めていないのですが、

現在

router
   |
  |
Sonic--Mail
  |
  |
LAN

予定

router
  |
  |
Sonic--Mail
   |
   |
NewFireWall--Web
   |
   |
LAN

と、こんな風に直列に並べたいと言うことですか?
しかしこれでは
>現在のファイアーウォールの前にWebサーバー用のファ
>イアーウォールを 設置するつもりです。
これを満たしませんね(^^;

予定2

router
  |
   |
NewFireWall--Sonic--|--mail
   |            |--Web
   |
LAN

って、事ですか?
どちらもあまり意味がないような気がするが・・・
すいません。
ちょっとおっしゃりたい意図が掴めません。
もうちょっと補足してください
補足コメント
shigechii

お礼率 64% (60/93)

すいません。
この様な形をとりたいのですが?
これって、全然意味がないのでしょうか?



router
  |
   |
Sonic-----------mail
   |   |         
   | newfirewall
LAN |
Web
投稿日時 - 2001-04-17 16:01:56
  • 回答No.4
レベル11

ベストアンサー率 38% (141/363)

ちょっとまとめてみます。 まず、mailサーバーですが mailサーバーの前には、Sonicのみがある #ルータは抜きです 続いて、webサーバーは Sonic--NewFireWall--web と言う形になる。 と言うことですね? 単純な話ですが、webサーバーにアクセスするには SonicとNFW(NewFireWall)を通過しないいけないですよね? と言うことは、So ...続きを読む
ちょっとまとめてみます。
まず、mailサーバーですが
mailサーバーの前には、Sonicのみがある
#ルータは抜きです
続いて、webサーバーは

Sonic--NewFireWall--web
と言う形になる。
と言うことですね?

単純な話ですが、webサーバーにアクセスするには
SonicとNFW(NewFireWall)を通過しないいけないですよね?
と言うことは、Sonicもポート80番は解放しなければなりません。
同様にメールサーバーがくっついていますから、ポート25、110を解放します。
で、1つお聞きしたいのが、webサーバーの25,110を解放することに、どれだけ問題があるのでしょうか?
LANは結局のところ、Sonicしか通過してないわけですから、Sonicのセキュリティレベル=LANのセキュリティレベルと言うことになりますよね?
で、NFWは、webサーバーのみのセキュリティを高める事になると思いますが、どのような意図でそうされたいのでしょうか?
例えば、webサーバーをメールサーバーと同じセグメント上につけ、Sonicのポート25,80,110を解放するのが問題である理由が分かりません。
どうしても、webサーバーの25,110を解放したくないと言う理由があればいいですが、そうでない限り無意味ではないかと思います。

本末転倒な話になるかもしれませんが、NFWは必要ないのではないでしょうか?
もしその必要性があれば、申し訳ありませんが、逆に後学のためその理由をご教授下さい。
補足コメント
shigechii

お礼率 64% (60/93)

すいません。何度もごめんなさい。

頭の中をまとめてみました。

形として、

  router
   |
   |
 Sonic--Mail
   |
   |--NewFireWall--Web
    |
   LAN

という、形をとろうと考えています。
話がコロコロ変わってしまってすいません。
上との話がかみ合っていませんでした。

この場合でもLANからしてみれば、
Sonicwallのみのセキュリティしかかかっていません。
ですが、外からWebサーバーを通ってLANへ入る事は防げるのでは?
ないでしょうか?
すいません。セキュリティに関して、
ど素人です。
現在のSonicwallでは、Webサーバーを立てるほどの
セキュリティを掛けていませんでした。

上の方からもっとセキュリティの高いものを
設置するように言われ探している所なのです。
これって、無意味ですか?
勉強はしているつもりなのですが、
勉強不足です。すいません
投稿日時 - 2001-04-18 09:45:09
このQ&Aで解決しましたか?
関連するQ&A
-PR-
-PR-
このQ&Aにこう思った!同じようなことあった!感想や体験を書こう
このQ&Aにはまだコメントがありません。
あなたの思ったこと、知っていることをここにコメントしてみましょう。

その他の関連するQ&A、テーマをキーワードで探す

キーワードでQ&A、テーマを検索する
-PR-
-PR-
-PR-

特集


新大学生・新社会人のパソコンの悩みを解決!

いま みんなが気になるQ&A

関連するQ&A

-PR-

ピックアップ

-PR-
ページ先頭へ