■ 構築問題 第九問 解答

何を使うかわかってるわよね。

そりゃもちろん、ファイアウォールだよね。

じゃ、ファイアウォールを配置する場所は？

外部と内部の境界線上に、だったよね。

この問題なら、ココだよね。

そうなの？ Webサーバはファイアウォールの下じゃなくていいの？

外部からアクセスが必要なものは外側に置かないと。

境界線がココに引かれるから、ファイアウォールも境界線上に配置しなきゃ。

うん。いいわね。
前もいったけど、ファイアウォールはネットワーク接続に影響を及ぼさないの。

そうなの？

もちろん、ファイアウォールにPPPoEクライアント機能をつけたりしてインターネットに直接接続なんてこともできるけど、普通はやらないわね。

だから、外部と接続するルータが必要？

そう、この場合ファイアウォールは純粋に「壁」としての動作を果すって覚えた方がいいわね。通行の許可・拒否は決めるけど、それ以外の役割を果たさない。

そうなのか〜。

ルータもそう。ルータはいくつもの役割を果す機能をもっているけど、基本的には「ルーティング・マシン」としての役割のみで考える。なるべく単一の機能に絞って機器を配置する方がいいのよ。

なんで？ いくつも機能が果せるなら、機器の数が少なくてすむじゃない？

確かにそうなんだけど、それは慣れて来てから、機器を「まとめる」という発想で考えればいいことで。
今の段階では、多少大げさに見えたとしても、単一の機能で機器を配置していった方が理解が深まるわ。

ははぁ、便利な機能をいっぱい持つ機器で慣れちゃうと困るってことかな？

そうね、それもあるわね。複数の機能を持つ機器で慣れると、そうでない機器で組まなきゃならない時、結構困っちゃうのよね。ルータとファイアウォールとロードバランサ、どれがどこだっけ？なんてね。

なるほどだよ。

あとは、そうね。ファイアウォールの種類は知ってるわよね？

一番問題になりやすい、理解しやすいのはパケットフィルタリングね。
これは普通にできないとダメよ。

うん、がんばるよ。

さて、最後にお約束。データの流れを書いておきましょ。

ポイントはやはり、外部からのアクセスはファイアウォールを通過できないってところね。
やっぱり、データの流れをみるなら、単一の機能をもった機器の構成の方がいいわねぇ。

さっきの話だね。

そう、ルータのファイアウォール機能を使った図なんて書いたら、絶対混乱するに決まってるわ。

ここでフィルタして、で、ルーティング？ NAT？ あれ？ みたいなね。

そゆこと。
さて、ほげたん。ここで重大な提言を。

なにそれ？

ファイアウォールをフィルタするための機器として覚えちゃダメ。

へ？ アプリケーションゲートウェイ（プロキシ）としての機能もあるから、フィルタで覚えちゃダメってこと？

違う。プロキシだろうがパケットフィルタだろうが、インスペクションだろうが、「フィルタによるパケットの通行」に対応する機器として覚えちゃダメってこと。

なんで？ なんでなんでなんで？
ファイアウォールだよ？ 「防火壁」だよ？ ほとんどの説明にはそう書いてあるよ？ 間違ってるの？

間違ってはいないわ。ただ、ネットワークを構築する上で、ファイアウォールには重要なポイントがあるってこと。ファイアウォールにはもう１つ大事な役割があるの。

さっきは「単一の機能で考える」っていってたのに、ファイアウォールには2つの役割があるの？

そうなっちゃうわね。しょうがないのよ、ファイアウォールって2つの役割があって初めてファイアウォールなんだから。

で、それはなに？

それはまた次回。
おね〜さんと、

ほげたんのっ!!

3 Minutes Networking、

Step by Step !! でした〜〜〜っ!!
なんだろう、気になる……。