ぶろぐ

日記です

もやもやもやもや


もやもやが少し解けた!
キーワードは「管理」かも!

FWの機能

よくいわれるのは二点

  • アドレス変換機能
  • パケットフィルタリング機能
パケットフィルタリング機能

all allowでは不安。ってか論外かな?通信を許すスコープを狭めることで、侵入を難しくし、管理を容易にしよう、というお話かも。
それが、ファイアウォールポリシー、ACL、フィルタリング、にあたるお話。
信頼できるゾーン(lan)、信頼できないゾーン(internet)で分け、通信を許す、許さないのポリシーを設定する。
そのポリシーで許されたもののみ通信を許可する。そんな系。
アクセスリスト(ACL) = アクセス許すよリスト(暗黙のdenyなら)
ゾーンをまたぐ際に、入る場合と出る場合で別々のポリシーが存在する事にも注意。

アドレス変換機能

FWで、アドレス変換を行うことで、うちらのネットワークを隠す。外から見れば、FWがなんかサーバーだし、クライアントだし、HTTPリクエスト送ってくるのも、FWが行っているように見える。
実際は、NAPTとかでアドレス変換をしていたり、FWがサーバーのIPを肩代わりして通信を受け取り、チェックした後サーバーに流す、などしてる(MIP,DIP,VIP辺りを参照)

DI(Deep Inspection機能)

さらに発展して、「これ攻撃されてんじゃね?」とか言う通信が来た場合、感知してはじく事ができる。これをDIとか言う。
普通、企業向けFWとかで使うなら、これがないとFWの意味無いよね〜って感じかもしれない。
自宅鯖とかだと、Linuxの多分IDSとかかな?で対応してもいいかも。

なぜアプライアンス機器が必要なのか?(妄想)

DI、Webサイトフィルタリング、スパムフィルター、ルーティング、アドレス変換とか、後なに?なんだろう・・・?
沢山のコネクション張らないと行けなくて、大変なんだだはず…
それに、構築するのも大変そう。
これを、バシッと一発で用意する。しかも、性能がいい!という便利な専用機器があり、そんな時juniperのSSG5辺りを使うと、すごく幸せなんだろう。
FWは、最大同時接続セッション数が重要らしく、これが少ないと不安定になってセッションがブチブチ切れちゃうらしい。専用機器にすることで、性能はバッチグーよ。
さらに、

  • サポートが受けられる(のかな多分)
  • GUIで設定できる
  • 金払えばWebサイトフィルタリングできる
  • 金払えばSPAMメール防止できる
  • VPNも行ける

そう、VPNとか、SSLとか、暗号系の処理はサーバーに負荷を結構かけるらしい。
確か、SSLアクセラレーターとかゆーアプライアンス商品もあるぐらいだった気がする。
サーバーをスケールさせるよりは、別で対応したほうが普通に費用対効果よさそう。
こんな手札を沢山持っているたら、幸せになれそうだ。
話はずれるが、多分LinuxサーバーでVPN張るのではなく、アプライアンスでIP-VPN張るのが普通かも。

そして5GTを入札中

FWの意味がホントにわけわからなくて、何していいかわからなくて、イライラしていたので思わずポチってしまった。
今では後悔していr・・・ない!
昔知り合ったフリーランスNE師匠への憧れ、そしてNEとして働く同級生に少しでも近づくために、買っといて損はないだろう。
(こんなやる気あるふりしているけど、実際触るかどうかはわかんない)
あの師匠は今何しているんだろうなー

ちなみに…

5GTはNetScreenシリーズのエントリーモデルで、小規模に使われていた奴。今は販売されていない。ヤフオクで安くで取引されているので、勉強目的に購入するのありかも。今あるNetScreenシリーズは、バカでっかいデータセンター向けのみだはず。(無理ゲー)
SSG5は、SSGシリーズのエントリーモデルで、こちらも小規模向けに使われる5GTの後継機種的存在。

あと…

勘違いしている事があれば、ご指摘お願いします。