- - PR -
DMZのサブネットについて
投稿者 | 投稿内容 |
---|---|
|
投稿日時: 2004-06-22 01:11
件のページオーナーの非武装エリアです。
(http://d-net.robata.org/d-net/build-firewall-03.html ) 既にコメントされていますが、このサンプルの例はページの中でも記述していますがSonicWallという低価格のファイヤーウォールを使った場合の構築例です。 このファイヤーウォールはDMZがブリッジモードとして動作しているので、DMZ上のセグメントもWAN側と同じネットワークアドレスを使うようになっており、かつ、アクセスのルールはDMZ・WAN・LANそれぞれ別に設定できるような製品です。 余談ですが、LinuxなどのiptablesもLANカードを3枚さして、その内の2枚をブリッジで構築するとこの構成例と同じような機能が実現できます。(ブリッジの設定が必要ですけどね..) FireWall-1やSymantec ESMのような製品では、DMZとしてローカルアドレスを割りてる必要がありますね。 Netscreenでは透過モードをサポートしているらしいですが、DMZ付きの製品を触ったことが無いので良く判りません。(^^ゞ (かわしんさんのFWにNAT、ルート、透過モードがあるという事は、Netscreenかも知れませんね) さて、透過モード(ブリッジモード)でDMZを構築した場合、DMZに構築するマシンにもグローバルIPを割り当ててやる必要が出てきます。このときSonicWALLでは、DMZ用のアドレスを予め登録しておくことで、それがDMZ上のものなのかWANポート側のものなのかを判断しています。NetscreenではポートをDMZとして設定すれば良かったような気がします。 DMZ上に構築するサーバとしては、取りあえず一般的な処では、「メール」「DNS」「Web」あたりでしょうか。 これらを1台でまとめるも良し、それぞれ専用のマシンにするも良し、といった処です。(予算があれば、メールとDNSを1台にパッケージして、このパッケージを2セット用意することで障害に強くするのをお勧めします) あとはメールなどは実際には社内にメールサーバを構築しておき、DMZ上のメールサーバに届いたメールを社内のメールサーバに転送するように構築すると良いでしょう。 こうする事で、DMZ上のメールサーバには個人のアカウントや領域が不要になるため、万一セキュリティホールでDMZのメールサーバがクラッカーに侵入されても、個人のパスワード情報などを盗まれる心配がほぼ無くなります。 そうそう、転送に際して社内のメールサーバをDMZからアクセスさせる為に、場合によっては「社内のサーバにマップしたグローバルIP」が必要になる場合もあるので、結局必要なグローバルIPは、「ルータの内側」「FWのWANポート」「DMZに構築するマシンの数」「社内に転送する場合のマップの数」だけのIPアドレスが必要になってきます。 これ以外に考えるべき事は、メールのウィルスゲートウェイの導入や、Webサーバを守るためのWebセキュリティ製品などですが、セキュリティの確保にはコストがかかりますので、用意できる予算と守りたい事を秤にかけながら機材を構成する事になると思います。が、仕組みで逃げられるなら余りコストだけを追求せずに「必要な予算は出す」方が、トータルでのコスト(運用や万一の際の復旧コスト)としては安くなりますので余りケチらない方が良いというのが個人的な考えです。 |
|
投稿日時: 2004-06-23 22:58
非武装エリアさま、無断でページを引用してしまい
申し訳ありませんでした。 そして、非常に有用なコメントありがとうございます。 SonicWallとNetscreenについての製品情報を色々 調べてみようと思います。 |
|
投稿日時: 2004-06-24 09:53
>非武装エリアさま、無断でページを引用してしまい
>申し訳ありませんでした。 いえいえ、リンクして頂きこちらこそありがとうございます。 (Webページなんて、公開している以上リンクフリーが当然だと思っていますから...別に連絡なんていりません。(^。^) FWですが、各社には色々と特徴があって調べてみるとおもしろいです。 今までさわってみた感じでは、高機能(高性能ではなく)と簡便さは反比例ですね。 特にソフトウェア製品の場合には、その機能の豊富さが(インストールを含めて)設定の手間になっているように感じるのは私だけ? 今まで触った中で設定の簡便さからいうと、個人的な主観では SonicWALL > Netscreen > Firebox > Symantec-ESM(旧 Eagle) > Firewall-1 ですね。(他社製品も使ってみたいのですが、なかなかチャンスが無いので評価できません) Firewall-1なんかは機能を追加する事で色々なセキュリティシーンに使えるので多くの企業に採用されてますね。 SonicwallやNetscreenは比較的小規模な企業から中規模な場合に多く提案しましたが、価格を考えると妥当な機能では無いかと思います。 個人的には昔からEagleを使っていたのでSymantec-ESMは好きなのですが価格と速度がね〜(まあ、速度に関しては早いマシンを用意すれば良いだけなのですが...) 高速性や拡張性ならFirewall-1も悪くないのですが、ライセンスの与え方が面倒です。(回線やプロパイダが変わるときに余計な手間がかかりますね...) まあFWだけで今の世の中の情報セキュリティ上の危険をすべて回避できませんから、色々なセキュリティ製品や社内教育などに取り組まないと本当は駄目な事が多いのですが、「経営者」の方は余りセキュリティには前向きではありません。 でもって情報漏洩があったり、クラッキングに合ってから対策を立てるという「悪いセキュリティポリシ」の見本みたいなケースって本当に多いですよ。 そのうちに機会があったら各社ファイヤーウォール比較なんかもしてみたいですね。 |