[インターネット接続エリア]社内LANを社外へ導く
次にインターネット接続エリアを見てみよう(図3)。一般家庭と同じように、企業でもインターネットに接続する場合にはISP▼に接続する。その際、社内ネットワークとインターネット(社外ネットワーク)をつなげる仲介役となる機器が必要だ。
教科書的にはここで「ルーター」が登場する。しかし実際の企業ネットワークでは、純粋なルーターはほとんど出てこない。ルーティング機能に加えて、セキュリティ機能を備えた、ファイアウオール▼やUTM▼を使うのが一般的である。
インターネット接続エリアでは、内部(社内)、外部(インターネット)、DMZ▼の3つにゾーンを分ける。ゾーン分割とは、データやアプリケーションを配置する場所をセキュリティレベル(ポリシー)の違いに合わせて変えることだ。それぞれに適切なセキュリティルールを適用できる。ゾーン分けもファイアウオールの提供機能の1つである。
外部の攻撃から守る
インターネットは不特定多数の利用者が存在するネットワークである。ファイアウオールの第1の役割は外部の攻撃から社内ネットワークを守ることだ。不要な外部からの接続を禁止する。
昨今のファイアウオールには、多くのセキュリティ機能が実装されている。そのうちの1つがアプリケーションの識別だ。従来のファイアウオールにも、ポート番号▼をチェックして、プロトコルの種別によって通信の可否を決める機能はあった。これを「パケットフィルタリング」と呼ぶ。しかし、最近は「BitTorrent」のようなファイル共有ソフトやSNS▼の「Facebook」、音声通話の「Skype」など、あらゆるアプリケーションがHTTP▼を使って外部にアクセスする。ポート番号だけで判別するパケットフィルタリングではこうした通信をそれぞれ区別して、止めたりできない。
そこで、通信データの中身を検査してアプリケーションの種類を判別し、許可したアプリケーションのパケットだけを通す。この機能は高いCPU性能が必要だが、最近では多くのファイアウオールが搭載している。
Internet Service Providerの略。インターネット接続事業者。
「防火壁」という意味がある。
Unified Threat Managementの略。各種セキュリティ機能を1台にまとめたゲートウエイ機器。
DeMilitarized Zoneの略。
TCPやUDPのポート番号は利用するアプリケーションに紐付いている。
Social Networking Serviceの略。
HyperText Transport Protocolの略。Webの通信に使うプロトコル。