ファイアウォールの構築。

こんばんは。 のっけから大変失礼なモノ言いですが、大学生でいらっしゃるならもう少し具体的な質問（文章）を書く様ににしていただかないと、正直回答に窮してしまいますヨ。（雑談ではなく「質問と回答」がこのサイトの主旨だと思いますから。） >>どなたか構築された経験のある方はいらっしゃいますでしょうか？ ↓ これでは「ありますよ。で、何でしょう？」と回答したくなるのが正直なところです。（ごめんなさい。） 私もUNIX系OS（FreeBSD）でのファイアーウォール構築・利用経験を持っていますが、このサイトでもたくさんの識者が回答しておられますし、他にも経験者はたくさんいらっしゃる筈です。 しかし、これではあまりにカンジが悪い回答ですので（せっかくモノを学ぼうとされているわけですから）、なるべくご質問の真意を汲み取りつつ、私からお話できそうな事柄を書かせてください。 >>ファイアウォールの構築は簡単とききました。 ↓ すでにPC-UNIXの利用経験（コマンド類や設定の基礎知識）はあるということでしょうか？ まだであれば、「ファイアーウォール構築と利用」以前にそこから始めるべきでしょう。 また、ネットワークセキュリティー関連の学習やテストは必ずネットワーク通信の基礎知識（特にTCP/IP関連）を身に付けた上で「自前の（あるいは自組織内で許可をとった）閉じた環境」で行うようにしてくださいね。（他者の管轄にあるLANやインターネット上にトラフィックを作らないようにすべきだということです。） もしも一通りUNIXの経験があるのでしたら、ファイアーウォールの”構築”自体はおっしゃるとおり簡単だと思います。 例えばFreeBSDではカーネルの再コンパイルなしにファイアーウォール（IPFW）が利用できますし、他のOS上での利用や他の類似（セキュリティー対策目的の）ソフトウェアの利用においても「とりあえず入れて動かす」のは容易なことだと思います。 UNIX系システムで動かすファイアーウォールは、OS上のソフトウェアやモジュールに過ぎませんので、導入自体は基本的に「ソースをコンパイル（必要なら）して、インストールする」だけです。（現在では、様々なパッケージングの仕組み（必要なライブラリやモジュールを集め組み込んだり、コンパイル前の設定を支援する）も提供されていますから、UNIX（Linux）の基礎知識さえあれば、多くのソフトを楽に導入しやすくなっています。） これではおっしゃるとおり「卒業研究のテーマ」にはなり得ませんよね。（「色を塗らずにプラモデルを作ってみました。」という話と大差ないでしょうから。） ところが、ファイアーウォールの”設定”や”運用”となると、話は全然違ってきます。 これはネットワーク・セキュリティー全般にいえることですが、「～の仕組みをデフォルト導入して、はい終わり！」というものではなく、「それぞれの組織やネットワークの事情に合わせて設定を施し、継続的に管理・メンテナンスを行う事」が最も大切かつ”難しい”ことです。 共通する項目として、 ↓ ●守るべきネットワークの構成を把握した上で、「誰の責任において・何を・だれから・どのくらいの強度で守るのか？」という方針（セキュリティー・ポリシー）を決め、具体的な設定項目に落とし込んで実行する。 ●日々の「動作／トラフィック（ログ）監視と情報の有効利用」「発見される脆弱性の修正」「ネットワーク構成の変化にともなう設定変更」など。 ↓ これらの条件をクリアして上で、継続的なメンテナンスを行うことで初めて安全性を保つ事ができるといえるでしょう。 ファイアーウォールもあくまで「安全性を実現するための一パーツ」に過ぎませんので、全体的な計画の中でその他の要素と組み合わせて構築・運用する必要があるという事です。（「システムで守ろうとする」のではなく、ポリシーと運用計画をもとに採用するシステム（設計）を決定して行くべきだということです。） また、ファイアーウォールで防御（想定）可能な攻撃は外部から内部のものである事が多く（もちろん、内から外へのトラフィックも制限できますが）、実際には多くを占める「内部犯行」に対しては無力である事が多いという点も知っておく必要があります。（攻撃や脅威の対象やにもよりますが。） 事実、「外部からの攻撃に対して高価なファイアーウォールを導入したが、穴だらけな上、あいかわらず内部は脆弱なまま。」という組織も多いというのが現実でしょう。 さらに、最近では「Webアプリケーションやデータベースの脆弱性をつくもの」など、基本的には通過を許可する必要がある通信（HTTP/HTMLやXML等）を利用した攻撃（つまり、ファイアーウォールでは直接防げないもの）が増えているという問題があります。 こうした点を踏まえ、「企業や組織におけるファイアーウォールの導入意義と、そのシミュレーション」「ファイアーウォールでは防御しきれない脅威」などを卒論のテーマにするなら、”あり”だと個人的には思います。 ただし、組織での実務経験が無いと、状況設定や運用・管理面などについて具体的な想定がしにくいと思いますが…。（もちろん、アルバイトでも得られる有用な経験や知識はたくさんあると思いますが。） さて、イロイロと書いてきましたが、何でも経験してみるのは良い事だと思いますので、下記のサイト（URL）などで得られる情報をもとにイロイロ試してみるのも良いかもしれません。 ■@IT掲載の関連連載記事■　Copyright(c) 2000-2004 atmarkIT ＜ゼロから始めるLinuxセキュリティ＞ ↓ http://www.atmarkit.co.jp/flinux/rensai/security01/security01a.html ＜ファイアーウォールの基礎知識＞ ↓ http://www.atmarkit.co.jp/fsecurity/rensai/fw01/fw01.html 上記の記事が掲載されているサイトにはTCP/IPやLinuxの基礎を始め、他にも有用な教材が満載（しかもタダで読めます！）ですので、大変おすすめです。（私もずいぶんお世話になっています。） IT関連の事柄についても「技術的な知識を追いかけるだけではなく、現実社会の現状や本質を理解した上で「必要な対策を必要なときに取りこむ計画力」や「定量化や一般化などで他者を説得できる力」を身につける事が大切なのだと思います。（もちろん、これには「経験」も必要でしょうが、学生時代からなるべくその様なモノの見方をしておくのも有意義な事だと思いますヨ。） 以上、冒頭にイヤミっぽい発言もありいささか心苦しいのですが、少しでも参考にしていただけたなら幸いです。 それでは。