アカウント名:
パスワード:
より多くのコメントがこの議論にあるかもしれませんが、JavaScriptが有効ではない環境を使用している場合、クラシックなコメントシステム(D1)に設定を変更する必要があります。
「毎々お世話になっております。仕様書を頂きたく。」「拝承」 -- ある会社の日常
いまどきファイアウォールなし? (スコア:1, すばらしい洞察)
ハードウェアとしてのファイアウォールなし、という意味だと信じたいが、ソフトウェアも含めなしだと…。
3年前の設置だとしても、さすがに危機意識がなさすぎないか?
WHOISしてみると自社運用のようだが、誰かコンサルしてあげたらどうだろ。
初心者はファイアーウォール必須 (スコア:3, 興味深い)
とか言うエンジニアって「初心者です」と言ってるようなもの。
最近は大手企業でなくてもギガビットクラスの
設計が必要な案件もたまにありますが、
そういう場合どうするのでしょうか?
まさか、NetScreenの最上位機種をいれて見積もりを出すのでしょうか?
しかも無知な業者の提案を鵜呑みにして、導入しても
サイトも実用に耐えられないものになるのがオチです。
Re:初心者はファイアーウォール必須 (スコア:3, 興味深い)
トラフィックの大部分は得てして静的コンテンツであり、それらは、ファイアウォール専用装置の外、ワイヤレートの L4 フィルタリングが出来る L3 スイッチ配下に置く(可能であればコンテンツ部をROM化する)、ファイアウォール装置の配下には アプリケーションサーバなどの動的コンテンツ生成部だけを置くというデザインは、割と普通のはずですが。
ギガビットクラスのトラフィックの全てがファイアウォール装置配下に置かれなければいけないほどのものであれば、僕なら"最上位機種"を入れて見積もりますね・・・。
ファイアウォール無しなんて信じられない派なので ID.
あ、でも、アクセスサーバが持つプールアドレスに対してはファイアウォールは一切無しですね。
エンドユーザには勝手にパケットがフィルタされない、本物の Internet を AS-IS で提供したいです。
# サービスプロバイダの中の人の独り言
# 最近、この意見の人は減少傾向なのよね・・・。
Re:初心者はファイアーウォール必須 (スコア:2, 興味深い)
> # 最近、この意見の人は減少傾向なのよね・・・。
における「この」は
> あ、でも、アクセスサーバが持つプールアドレスに対してはファイアウォールは一切無しですね。
> エンドユーザには勝手にパケットがフィルタされない、本物の Internet を AS-IS で提供したいです
にあたりますか?
そうだとすれば、私自身も同感です。そういうサービスプロバイダを使いたいと思います…が、
世間一般からは受け入れられ難いというか、そうでなく、上流でフィルタしてくれるような
サービスを「価値がある」と思う人もいそうですよね。
要は選べればいいんじゃないかな。
Re:初心者はファイアーウォール必須 (スコア:1)
Re:初心者はファイアーウォール必須 (スコア:0)
日本でだってちゃんとあるよ、そういう事は。
Re:初心者はファイアーウォール必須 (スコア:1)
# ただ、 out-bound 25 port だけは閉じたいという思いはありますが・・・。
out-bound 25 port を閉じるか、 Windows ユーザお断りのサービスにするか・・・ 後者を選びたいけど選んだら事業にならないのですよね・・。
> 要は選べればいいんじゃないかな。
クラシカルな(AS-ISを提供する) ISP サービスを要求する人と、手厚い保護があることを要求する人両方に対応出来ると尚更良いと思います。
NTT-PC さんの infosphere はまさにそれを実現出来てるのでしょう。
ただ、普通の ISP ではどちらかを選択しないと生き残れない筈・・・。そして、マーケットは明らかに後者を要求しています・・・。
ニッチはどんどん淘汰される・・・。
存在がニッチなので ID (?)。
Re:初心者はファイアーウォール必須 (スコア:2, 参考になる)
上で指摘頂いていますが、私の書いた「ファイアウォール」は「パケットフィルタや攻撃検知を簡易に行なえる機能」のイメージです。アプライアンスでもいいし、ソフトウェアでもいいです。
仰ることは、「ギガビットクラスの設計が必要な案件ではファイアウォールは入れるべきではない」ということでしょうか?
ソフトウェア処理(例えばルータのソフトウェア処理パケットフィルタ)のものも含めて?
いずれにせよ、インターネット直結ならハードウェアないしソフトウェア的なファイアウォール機能は必須だと思ってます。
各種attackを、ファイアウォール機能なしで防ぐ運用が可能なら確かに不要ですが、それってかなり厳しいんではないかと。
んで、少しでも脆弱性を守る可能性のある手が現実的にあるのなら、実施すべきではないかと。
かように思う次第であります。
Re:初心者はファイアーウォール必須 (スコア:3, 興味深い)
>「パケットフィルタや攻撃検知を簡易に行なえる機能」の
>イメージです。アプライアンスでもいいし、ソフトウェアでも
>いいです。
全てのサーバ環境に入れてるのが普通といえるくらい安価で容易に使えて、
さらに脆弱性を突く不正アクセスを未然に防げるような便利な
ソリューションって存在するんですか?
少なくとも私は聞いたことありませんね。
Webサーバなんてのは外部からアクセスされるためのものが多いので、
ファイアーウォールでもポートはスルーされていると思います。
ファイアーウォールで効果があるのは、80番ポートに対するSynflood攻撃などを
検知するようなアノマリ型くらいでしょう。
正常アクセスの範囲で行われる攻撃に対してはパターンのシグネチャを
使った検知をしなくてはいけませんが、メンテナンスが大変ですし、
パフォーマンスが問題となるWebサーバにそんなのを導入すると
ボトルネックになって逆効果です。
結果的にDoS攻撃喰らってるのと同じこと。
それよりは脆弱性をきちんと修正しておくというのが現実的な解でしょう。
ファイアーウォールやIDSに頼って脆弱性を放置するなど、愚の骨頂です。
ファイアーウォールの内部にはサーバを置くDMZゾーンとTRUSTゾーンを
別々に分け、TRUSTゾーンへの外部からのアクセスは厳しくしましょう。
逆にDMZゾーンは、インターネットに直結してるつもりでサーバを
置いて管理しましょう。
Re:初心者はファイアーウォール必須 (スコア:2, 参考になる)
>検知するようなアノマリ型くらいでしょう。
攻撃を検知するのはIDSもしくはIPSであって、
ファイアーウォールではありませんよ。
それにシグネチャ型でも製品によってはSynflood攻撃を検知可能なものもあります。
アノマリ型IDS(IPS)は・・・。
チューニングが難しいので私は運用したくはありませんね。
Re:初心者はファイアーウォール必須 (スコア:2, 参考になる)
"ファイアウォール"という単語が一人歩きしてしまっていて ファイアウォール = ○○ とは言い切れないのが現状ではないでしょうか。
私の中ではファイアウォール装置は、 L4 以上のフィルタリング機能を持ち、IDS 機能を有し(重要度によってはIPS機能も)、セキュアな VPN を構築することが出来る機能を持つことが最低の要求事項としていますが。
提案要求書に "ファイアウォールを用意すること" みたいな抽象的なことは書かないですねえ。
Re:初心者はファイアーウォール必須 (スコア:0)
> L4 以上のフィルタリング機能を持ち、IDS 機能を有し(重要度によってはIPS機能も)
ここまではまぁ、分からんでも無いけど
> セキュアな VPN を構築することが出来る機能を持つこと
そんなん、Firewallの仕事じゃねぇよ
Re:初心者はファイアーウォール必須 (スコア:0)
まぁ「OS = kernel」とか言い出すと、OSだけじゃ何もできないことになるので、普通はuserlandも含めてOSと言うのと同様だと思えば良いんでしょうが、ふと「Internet ExplorerはOSの一部だから、Windowsから分離することは不可能だ」というMicrosoftの主張に世界中が失笑した頃のことを思い出しました。
Re:初心者はファイアーウォール必須 (スコア:1)
> そんなん、Firewallの仕事じゃねぇよ
元のコメントに有るとおり、"私" が、 "ファイアウォール装置" に要求している機能です。
最近のファイアウォール装置は上記機能、 パケットフィルタリング IDS IPS SecureVPN (PPTP L2TP + IPsec など) 機能を具備している物がおおい(大半?)のですが。
SecureVPN 機能持ってないけど IDS 機能はあるという物の方が珍しいかと。
TRUST と UNTRUST の間にファイアウォール装置を置き、UNTRUST むこうがわにある TRUST な空間と接続するために VPN 機能が欲しいという要求があるのは自然なことで、世に出回っている多くのファイアウォール装置はその要求に応えるために SecureVPN 機能を搭載しています。
別に VPN の為に別箱用意してもかまわないですが、VPN 箱を別で作らなきゃいけないという結論に至る程 --ファイアウォール装置の VPN 機能じゃ手に負えないほど-- VPN を酷使する程の案件には逢ってないですねえ。
"数百~数千 Firewall-instance を作ることができ、且つそれぞれの instance が個々に別のネットワークと VPN 接続をし、全ての instance が論理的に分解されていること" という要求を、 ファイアウォール装置 と VPN 装置を分けて作ると大変ですよ。
# 要求がニッチであることは受け入れます。
サービスプロバイダ側の人なので、ユーザサイドの要求事項ではないでしょうから。
# 複数の "分離された VPN " を作れる VPN 専用装置ってあるのかな、あったらちょっと見てみたい。
# 是非、SecureVPN 機能は Firewall じゃねーから機能を削れと世界中の Firewall箱ベンダに働きかけてみてください ;-)
Re:初心者はファイアーウォール必須 (スコア:0)
>ソリューションって存在するんですか?少なくとも私は聞いたことありませんね。
相手が言ってない事を勝手に付け加えて、そこに突っ込む幼稚な論法はやめましょう。
・「安価で容易に使え」る事が必要とは書かれていない
こういう類の製品 [f5networks.co.jp]を自社内で検討するか、コンサルに見積もってもらうかみたいな話
時間も金もケチケチ出来るという話ではないはず。
・脆弱性を突く不正アクセスを未然に防げる便利ソリューション
「銀の弾丸」の存在について言い出せば、「未知の…」とか
いくらでも突っ込めるのでキリが無い
>脆弱性をきちんと修正しておくというのが現実的な解
・
Re:初心者はファイアーウォール必須 (スコア:0)
>相手が言ってない事を勝手に付け加えて、そこに突っ込む幼稚な論法はやめましょう。
>・「安価で容易に使え」る事が必要とは書かれていない
もっと頭を使いましょ。
そういっているに等しい。そこまで洞察しましょう。
インターネットに公開したWebサーバ全てにファイアーウォールが
あってしかるべきだというような事を言ってる。
それは「安価で容易に使える」ということ。
>アナタもそういう事を言ったのだと思うが、誤解を招いては「現実的な解」とはいえない。
あのね、脆弱性が公開/非公開、修正パッチのある/無しは
ファイアー