 |
Copyright © 2000-2005 eazyfox. All Rights Reserved. | ||||
|
|
|||||
|
Copyright © 2000-2005 eazyfox. All Rights Reserved. | ||||
|
|
|||||
当サイトではPersonal Firewall製品について仕組みや製品紹介を主に行っているが、自宅でサーバを公開する環境が整ってきた現状を考慮してPersonalでないパケットフィルタ方式のFirewallについても紹介してみたい。
Personal Firewall(以下PFWとする)とパケットフィルタ形式のFirewall(以下Firewallとする)の機能や目的の違いを充分に理解していただいて、適切な製品の選択と使用を目指してほしいと思う。最初にPFW使用者から見た機能の違いからみていこう。
| Personal Firewall | パケットフィルタ Firewall | |
| フィルタ | アプリケーションごとに許可するプロトコル、ポート番号、接続先を指定する | NICごとに許可するプロトコル、ポート番号、接続先IP、送信元IPを指定する |
| ルールの設定 | ウィザードの起動などPFW実行中に新たなルールを簡単に追加・変更できる | ルールは基本的に初期設定で行い、稼動中は追加・変更しない |
| 画面 | 通信状況や警告表示など判りやすい画面が提供されている | 設定画面以外ない。設定画面すらない場合もある |
| ログ | ログ出力を提供している製品もあるが主として画面での参照を目的としている | 動作確認はログで行う。管理者を対象としたログなので出力内容を理解していないと運用できない |
一番の違いはアプリケーション+プロトコル(ポート)の指定がPFWのルールの基本だが、Firewallではネットワークインターフェイス(NIC)ごとにプロトコルやポートなどのルールを指定する。これは1台のPCをFirewall専用として使用しアプリケーションは他のPCで動作させる場合、アプリケーションの情報が不要且つ参照できないからである。さらにサーバ機として動作させるならあらかじめ実行されるアプリケーション(サービス)は固定されているからである。
また設定についても大きく違うのはPFWがインストール時にはほとんど何も設定を行わないで、実行中に新たなルールをどんどん追加して環境を整えていくのと違い、Firewallでは最初にルールを設定してから実行させることである。
つぎに使用目的の違いについてみていこう
| Personal Firewall | パケットフィルタ Firewall | |
| 保護対象 | インストールされたPCを保護する | インストールされたPC、内部ネットワークを保護する |
| 運用開始までの作業 | なにもなし | ルールやポリシーの作成 |
| 運用時の作業 | アプリケーション初回実行時に設定を行う | 定期的なログの参照・バックアップ |
ここでの違いはFirewallがインストール先のPCだけを保護するのが目的ではなく、内部のLAN内にあるPCを保護するために外部との文字どおりの防火壁として機能することである。またあらかじめルールを決めてから使用を開始するということは内外のPCで使用するプロトコルを掌握している必要がある。
ここまでの話でPFWと比較してFirewallは決して使い勝手がいいようには思えないだろうが、PFWが使用できない場合やルータとして動作させる場合にはFirewallを使わざるをえない。ではパケットフィルタを使うケースを考えてみよう。
自宅でサーバを公開するケースだと通常ならサーバ専用として使用するPCを1台用意して、一通りの設定を行い運用を開始すると設定変更は稀にしか行わない。このケースでPFWとFirewallを比較すると
| Personal Firewall | パケットフィルタ Firewall | |
| 良い点 | ・WebとMailサーバのサービスに対して外部からの許可を与えることができる(アプリケーションの指定が可能) |
・Webサーバは使用するポートが80番で固定なのであらかじめ80番ポートに対して外部からの許可を与えればよい ・パケットフィルタに専念するので動作が軽い |
| 悪い点 | ・Windows2KやNTのServerで動作保障しているPFWは少ない ・日付ごとにログを出力するなどの機能が無い ・アプリケーションまで判定するので動作が重い |
|
| 総評 | このように表にすると公開サーバでいろいろなアプリケーションを日々動かさないのであれば、固定ルールのFirewallが動作も軽くてログ管理も楽なので適している。PFWもログなどを見ないのであれば使えないとは言えない。 | |
結局Firewallで悪い点が見つからなかった。ということはお勧めするのはFirewallで、次点がPFWということになる
専用のルータ機も安くなってきたが古いPCが余っている場合であればNICを2つ入れるだけですぐにルータとして動作させることができる。また低スペックのPCでもADSLくらいであれば充分なスループットが得られる。
| Personal Firewall | パケットフィルタ Firewall | |
| 良い点 | ・Webサーバは使用するポートが80番で固定なのであらかじめ80番ポートに対して外部からの許可を与えればよい ・パケットフィルタに専念するので動作が軽い |
|
| 悪い点 | ・ポート指定ができないPFWでは防御できない ・複数のNIC(IPアドレス)を個別に指定できるPFWは少ない |
|
| 総評 | ルータとして動作させるにはPFWはまったく適さない | |
このケースではPFWは完敗である。もともとサービスはNATとFirewallの機能しか動いていないのでPFWのアプリケーションごとの指定というアドバンテージは活かされなくなる。
ここではケース1+ケース2となるPCを動作させることである。実は筆者の環境はこのケース3で動いている。このケースではケース2と同様にNAT+Firewallという機能があるためPFWは使えない
クライアントとしてPCを使用する場合はFirewallはどうなのかを考えてみる
| Personal Firewall | パケットフィルタ Firewall | |
| 良い点 | ・アプリケーションごとの許可、遮断が設定できるのでSpywareやトロイの木馬の動作を規制できる | ・パケットフィルタに専念するので動作が軽い |
| 悪い点 | ・動作が重いのである程度のスペックが必要 | ・悪意のあるアプリケーションの動作を完全には規制できない |
| 総評 | クライアントとして使うのであればPFWがやはり適している | |
クライアントとして使うPCにFirewallを入れることは適していると言えない。
ここまで見てきてパケットフィルタ方式のFirewallの使い道が見えてきたかと思う。ではFirewallのルール(設定)を考えてみよう。