第11章 イントラネットとセキュリティ

11.2 本格的なファイアーウォール

 ところが、図11-1の方法では、端末は規制できますがユーザID単位の規制まではできません。1つの端末を複数のユーザが使う場合に問題になります。通過の許可を、端末のIPアドレスやアプリケーションだけでなく、ユーザID単位でも規制できるようにするものが、ゲートウェイです。ゲートウェイを使った本格的ファイアーウォールの構成が、図11-2です。

図11-2 ゲートウェイを使ったファイアーウォールの構成

 この構成では、インターネットから社内への直接アクセス(破線で示しています)をルータaで禁止します。これと同時に、社内からインターネットへの直接アクセス(破線で示しています)もルータbで禁止されます。このままでは、社内ユーザがインターネットに通信することはできません。このため、社内ユーザは、インターネットに直接アクセスする代わりに、ゲートウェイを介してアクセスします。ゲートウェイは、社内ユーザからアクセスされると、以下の規準で判定して接続を許可します。

  1. 社内のどこからアクセスしてきたか(社内端末のIPアドレス)?
  2. 誰がアクセスしてきたか(社内端末上のユーザID)?
  3. インターネットのどこ(IPアドレス)へアクセスするか?
  4. どんなアプリケーション(WWWか?FTPか?)でアクセスするか?
 ゲートウェイは接続を許可すると、発信端末のIPアドレスをゲートウェイのIPアドレスに書き換えて、インターネットにアクセスします。この結果、社内のどの端末からアクセスしても、インターネット側から見るとあたかもゲートウェイからアクセスしてきたかのように見えるのです。このため、社内のイントラネットの構造をインターネットから隠すことができます。WWW、FTP等種々のアプリケーションを用いて、ゲートウェイ経由のインターネット・アクセスができます。

 図11-2では、社内ユーザtaroとichiroは、IPアドレスAの端末からインターネット内のすべてのWWWサーバやFTPサーバへアクセスが認められています。ユーザhanakoの場合は、IPアドレスBの端末からインターネット内のZへのFTPアクセスだけが認められています。同様にして、ユーザjunkoは、IPアドレスCの端末からインターネット内のWWWサーバへのアクセス自体が禁止されています。アクセス許可は、業務の必要性、ユーザの信頼度等に応じて、ゲートウェイの管理者が決めます。このため、信頼できるユーザだけにインターネットへのアクセスを限定し、情報漏洩を防止したり、あるいは通信量が不用意に増大することを避けることができるのです。  ゲートウェイ自体はワークステーションであるため、管理も細かくでき、例えばアクセス記録をログとして残し、ハッカー等の侵入を監視するといった利用のしかたもできます。

前の節へ | 目次へ戻る | 次の節へ