ファイアー・ウォールについて教えてください

なぜポートを開放することをいやがるかというと、Windows にしても、UNIXにしても、サーバを起動するとき、そのサーバに不必要なサービスをそのまま開放しているケースがあまりにも多いのが現状で、そのことが原因でサーバの乗っ取りやワームの拡散がいともたやすくできてしまうからです。穴をとおすということは、まず第一条件としてそのサーバから、別のサーバへ経路を新規に作成することですからね。 あとは、FireWall といのはある程度不正アクセス、なりすましには効果はありますが、万能ではありません。（昨年の Nimda なんかを例にとれば、HTTP：80を狙って攻撃したものですからな。）

弊害については皆さんが色々と「ご教示」されているようなので、ちょっと趣向を変えましょう。 通常の、DBサーバーとWebサーバーがともにグローバルアドレス上に、公開されているとします。 その場合、WebサーバーからDBへの書き込み要求が出たとき、 #ポート番号や細かい点は気にしないでください(^^; ---------- web Server ---------- 　　↓ポート5432を開けろ～ ---------- DB Server ---------- ん？こいつに(IPアドエスを見て)開けていいのかな・・ 調べる・・・・うん、大丈夫だ！ と判断してポートを開きます。 さて、今度はWeb→FW→DBとなる場合を考えてみましょう。 --- Web --- ↓ポート5432を明けろ～ --- FW --- 5432への要求？聞いてないよ・・・だからだめ！ ↓・・・・・ --- DB --- となり、DBへは要求は伝わりません。 ゆえに、FWに、input、forward の２つでポートを開かなくてはなりません。 *外からDBを閲覧したい場合や、書き込みを確認したい場合はoutputも開く で、管理者には、どうしてそのポートを開けるのがイヤなのかを問いただせばいいと思います。 # 私としては、FWに開ける穴は、別に80である必要はないと思いますよ。

ＷＥＢサーバーから書き込むということはインターネットからイントラネットサーバーに接続できると言うことで、これは危険極まりないから、うちの会社なら絶対に許可しません。 ＷＥＢサーバーからインターネット経由でイントラネットサーバーに接続なんてほとんど無差別ですよ。

私は「教授」ではありません。日本語は正しく使いましょう（笑） ファイアウォールは何のためにあるのですか？ 外からの侵入を防ぐためですよね？ だったら、穴をあければ、どんどん入ってきてしまますよね？ 穴を全部ふさいでしまったら自分も外に出られないので、最低限必要なものはあけますね？ でも、穴をたくさんあければあけるほど外からは侵入しやすくなりますよね？ ただそれだけのことです。 80と443は仕方が無いのですが、それ以外のポートやftp、telnetなどは普通嫌がります。

会社などで管理者に拒否されたのでしょうか。 ＞ファイアー・ウォールを通過できるサーバを増やす これの意味が解りません。 たとえばＷＥＢサーバーを通すのならポート８０を開けますが、８０ポートを開ければすべての８０を利用しているＷＥＢサーバーが通過できるはずです。 特定のサーバーが特定のポートを開けるように要求しているのでしょうか？ その場合、そのポートを空けることによりサーバー以外のリクエストで、外部から侵入できる可能性がある場合、管理者はそのポートを開けません。