図11-2 ゲートウェイを使ったファイアーウォールの構成
この構成では、インターネットから社内への直接アクセス(破線で示しています)をルータaで禁止します。これと同時に、社内からインターネットへの直接アクセス(破線で示しています)もルータbで禁止されます。このままでは、社内ユーザがインターネットに通信することはできません。このため、社内ユーザは、インターネットに直接アクセスする代わりに、ゲートウェイを介してアクセスします。ゲートウェイは、社内ユーザからアクセスされると、以下の規準で判定して接続を許可します。
図11-2では、社内ユーザtaroとichiroは、IPアドレスAの端末からインターネット内のすべてのWWWサーバやFTPサーバへアクセスが認められています。ユーザhanakoの場合は、IPアドレスBの端末からインターネット内のZへのFTPアクセスだけが認められています。同様にして、ユーザjunkoは、IPアドレスCの端末からインターネット内のWWWサーバへのアクセス自体が禁止されています。アクセス許可は、業務の必要性、ユーザの信頼度等に応じて、ゲートウェイの管理者が決めます。このため、信頼できるユーザだけにインターネットへのアクセスを限定し、情報漏洩を防止したり、あるいは通信量が不用意に増大することを避けることができるのです。 ゲートウェイ自体はワークステーションであるため、管理も細かくでき、例えばアクセス記録をログとして残し、ハッカー等の侵入を監視するといった利用のしかたもできます。