戻る　※ウルトラ転載・引用専門です。

　　　■　インターネット　イントラネット　セキュリティ　ファイアウォール　Proxyの役割　■

　　　■イントラネットの憂鬱・・

　　　ＴＣＰ／ＩＰなどのインターネットの技術を利用し、社内などの限られた組織を対象に企業
　　　内ネットワークを構築する事。イントラネットの構築にはインターネット用のソフトウェア
　　　などをそのまま使う場合が多くこのままでは、誰でも簡単にイントラネットの中に入り込み
　　　発信された情報を外部の人が簡単に見ることが出来てしまうこれでは、限られた組織を対象
　　　にイントラネットを構築してもまったく意味が無い。そこでセキュリティを確保するために
　　　は、イントラネット内のパケットが外に漏れ出さないようにする必要が生じた訳です。

　　　■ＴＣＰ／ＩＰ（方式）
　　　情報をパケット（小包という意味）という単位に分割してネットワークの中に送り出す方式
　　　インターネット上では、複数のネットワークが存在し、ルータと呼ばれる装置がパケットを
　　　中継して送信者から送られたパケットは途中にあるルータに受け取られ、そのルータはその
　　　パケットをまた別のルータに転送して最後に目的地に届ける仕組みになっているのである。

　　　■ファイアウォール

　　　上記のセキュリティ理由でインターネットとイントラネットの間の出入り口（ゲート）を１
　　　つにしぼって外部の侵入を防ぐ（監視する・制限する）検問所を置く事によりイントラネッ
　　　ト内のセキュリティを高める役割を果たすのがファイアウォールです。

　　　■ファイアウォール補足
　　　イントラネット内のコンピュータ同士で情報のやりとりなどがなされている場合はかたくその
　　　ゲートを閉じまたイントラネット内から外部インターネットにアクセスする場合は必要な情報
　　　のみをやりとり出来るように　監視・制限・検問　する仕掛けをもったものである。この相反
　　　する性格をもちあわせたフィルターがファイアウォールてす。

　　　■ファイアウォールの監視・制限・検問の２種類の方式

　　　ゲートウェイ方式
　　　送受信するデータを、HTTPやFTP、Telnetなどのアプリケーション・プロトコルのレベル
　　　輸送方法によって検査する。この方法だと、連続的なデータをまとめて調べることができて
　　　ファイアウォール構築も比較的簡単な設定で出来る。

　　　パケット・フィルタ方式
　　　情報を一定の大きさにまとめて、パケットのレベルで送られてくる荷物の送り主を１つ１つ
　　　調べて中に入れるかどうか検査する。ゲートウェイ型よりも細かいチェックが可能で安全面
　　　は上回って いるが、1個のパケットを基にそれを通すかどうかを判断するので、VDOLiveや
　　　Real Audioなどマルチメディアのストリーミング・データを適切に処理することが難しい。

　　　■ルータによるパケット・フィルタリング

　　　ファイアウォールはそのシステムのために専用の非常に高額なハードウェアを購入しなけれ
　　　ばならない、セキュリティ防護はしたいがファイアウォールを購入するのはコスト的に無理
　　　という場合は、ファイアウォールのパケット・フィルティングをルータと要塞ホストにより
　　　代用するという方法がある。ルータとは、LANに結ばれる通信装置であり情報の流れを制御
　　　する役割を持つ。特定のタイプのパケットが外部へ出る、または内部に入るという事を禁止
　　　するように他のルータを構成したり、特定のルータとの通信を可能にしたり禁止する事も出
　　　来る。これが、ルータによる経路とパケットのフィルタリングである。

　　　このルータによって、外部からのアクセスが要塞ホストだけに しかアクセスができないよう
　　　に設定する。外部からのアタック・侵入は要塞ホストのみにかかるようにするのである要塞
　　　ホストにはプロキシサーバというサーバを用いて、アクセス制限がかけられるため外部から
　　　のリクエストには応えないようになっている。こういった仕組みによって、ある程度安全に
　　　マルチメディア系サービスを 導入する事も出来るのです。

　　　■インターネットからの不正アクセスを防止（上記の補足的説明）

　　　インターネット上の無数にあるＷｅｂサーバー経由からのイントラネットへの侵入を防ため
　　　には、侵入してほしくないＩＰアドレスを、ルータに設定すればよいのだが星の数ほどある
　　　コンピュータのＩＰアドレス全てをルータに設定することは不可能であるためファイアウォ
　　　ールによってインターネットとイントラネット間の接続を分離して、イントラネットからの
　　　Ｗｅｂサーバーへのアクセスと、インターネット上のコンピュータからイントラネットへの
　　　アクセスが直接できないようにするのです。

　　　■ファイアウォールの泣きどころ　〜　プロキシサーバー誕生

　　　外からのアクセスを制限すれば当然イントラネット内から外のインターネット上のサーバー
　　　を利用する事も制限されてしまう訳ですそこで生まれたのが、ルータの外にインターネット
　　　に自由にアクセス出来るコンピュータを用意して、外へのアクセスのすべてをコンピュータ
　　　に代理させる方法です。この代理コンピュータは、イントラネット内のコンピュータが外に
　　　あるインターネット上のＷｅｂサーバーの閲覧を必要とした時に、そのＩＰアドレスを自分
　　　のＩＰアドレスに変換することによって、インターネット上のＷｅｂサーバーにアクセスし
　　　その内容をコンピュータに逐一報告する働きをもつ。このように、インターネットの情報は
　　　代理をしているコンピュータのＩＰアドレスによってイントラネットに送られることになる

　　　ルータにこのＩＰアドレスからの情報を通せるようにすれば、イントラネットからインター
　　　ネットへの情報のやりとりが可能になる。イントラネット内からはインターネットアクセス
　　　代理のコンピュータのみしか見ることはできないが、このコンピュータはすべてのインター
　　　ネットの情報を自分の情報として教えてくれるので、結果的にイントラネット内からすべて
　　　のインターネットにアクセスできるのと同等の結果が得られるのである。

　　　このようなインターネットのアクセスなどの代理を行うコンピュータを　代理サーバーとか
　　　プロキシサーバー（Ｐｒｏｘｙ　Ｓｅｒｖｅｒ）と呼ぶ。　串・・・・

　　　■補足
　　　以前は、この問題に対処するためファイアウォールによってアクセスが許可されているマシンに
　　　ログインしそこからコマンドを使うという方法を取とっていたが、これではせっかくファイアウ
　　　ォールによって強化したセキュリティレベルを低下させてしまう。そこで考え出されたのがファ
　　　イアウォールに内部のクライアントの代理をさせるサーバを設置する方法である。出入口に代理
　　　サーバーを立てておいて外からのアクセスがあれば、その代理人が応対し内部にはその代理人 が
　　　情報を伝えるので、内部がどうなっているかという情報を外部に漏らす事もないのでProxy サー
　　　バーは、ファイアウォールによるセキュリティ・レベルを下げずに外部との接続も可能となる。

　　　
　　　■キャッシュ
　　　イントラネットからインターネットへとアクセスする際、回線の帯域不足によりアクセスが
　　　遅くなる場合がある。Proxy サーバは、中継したデータを保存し同じデータをクライアント
　　　から要求された時には自分のディスクからクライアントに送るCache機能がある。この場合
　　　外部とのネットワークのトラフィックは発生しないので、インターネット全体の通信トラフ
　　　ィックを軽減してまた応答レスポンスも向上させられる。

　　　■補足
　　　Proxyサーバはファイアウォールに内臓されているのものと独立したプログラムのものがある。

　　　■補足　プロキシ・サーバ
　　　少しずれますが・・ファイアウォールの話しから離れて一般のプロバイダ−接続を仮定しての話しです

　　　串を利用しない場合は、目的のURL（貴方が見たいページ）までは・・
　　　貴方の家　→　貴方プロバイダ−　→　目的のURL（貴方が見たいページ）
　　　上記のように目的のURLまで直接接続します。

　　　串を利用した場合は、目的のURL（貴方が見たいページ）まで・・
　　　貴方の家　→　貴方プロバイダ−　→　プロキシサーバ　→　目的のURL（貴方が見たいページ）
　　　上記のように目的のURLまでプロキシサーバが途中 中継します。

　　　注：なーんだ遠くなるじゃないかと言う方は、
　　　(Why Proxy?さんの串についての説明を引用させて頂いています）

　　　どうしてProxyを使うと快適なの？モデル図
　　　自分のホスト┰─Ａ─Ｂ─Ｃ─┳目的のホスト
　　　　　　　　　┃　　　　　　　 ┃
　　　　　　　　　Ｄ　　　　　　　 Ｇ
　　　　　　　　　┗━Ｅ━Ｆ━Ｐ━┛

　　　Proxy(Ｐ)なしのアクセスでは、
　　　自分のホスト→Ａ→Ｂ→Ｃ→目的のホスト
　　　で経由するホスト数は最短ですが、回線が細く非常に重くなっています。
　　　Proxy(Ｐ)ありのアクセスでは、
　　　自分のホスト→Ｄ→Ｅ→Ｆ→Ｐ→Ｇ→目的のホスト
　　　となります。経由するホストの数は多くなりますが、回線が太く 結果として軽くなります。
　　　利用可能なProxyをどうやって見つけるか...が、まぁ大変なのですけど...汗。
　　　正しく使えば、快適になります。
　　　特に、ネットワーク利用者全員が常にProxyをうまく利用して、混雑している回線を避けて
　　　アクセスするように心がければ、快適になるでしょう。

　　　　■VPN(Virtual Private Network)

　　　VPNとは、仮想社内網、仮想社内広域網と訳される、インターネットを介して構築する専用
　　　ネットワークのことである各ネットワークにファイアウォールを設置し、ファイアウォール
　　　間は暗号通信をすることで、インターネットには暗号化されたデータしか流れないようにし
　　　て安全なデータのやりとりを実現しかつVPN として接続したLAN間は相互に必要なアクセス
　　　が行えるようにする。ファイアウォール構築の結果、以前より不便になった感じるユーザが
　　　増え、それによってVPNに対する関心が 高まってきた。

　　　複雑で大きな規模の企業のインターネット利用から、小さい会社の情報リソースに至るまで
　　　必要な時にシステムが稼動していて利用できるかどうかを表している。PGPについて。

　　　■PGP(Pretty Good Privacy)

　　　暗号化とその類事物である電子署名は、電子メール上では、いわば手紙を送る前に封筒に封印
　　　するようなものである。インターネットの電子メールは、宛先に行き着くまでにいくつかのコ
　　　ンピュータを経由するのでさまざまな人がプライベート・メッセージを読む可能性が出てくる
　　　インターネット用で使われている現在の暗号化の事実上の標準は PGP(PrettyGood Privacy)
　　　である。これは機密保持とディジタル署名の機能を兼備するパッケージであり、強力で事実上
　　　ほとんど壊されたことがない。PGPのサービスはRSA公開鍵暗号方式による認証、暗号化アル
　　　ゴリズムIDEAによる機密保持、圧縮 および電子メールの互換性、の４つがあげられる。

　　　最後に(もちろんこれも引用転載です)

　　　今まで、様々なセキュリティについて述べてきたが、これらをすべて利用すれば完全にデータ
　　　を防護できる かといえばそうとも言い切れない。ファイアウォールはそのシステム自体が故障
　　　の原因になりかねないというデメリットを持っているしスプーフィンク（羊の皮を着た狼の意。
　　　なりすましのこと）からは免れることができない。また暗号化に おいてはそのシステム自体が
　　　簡単に言ってしまうと時間稼ぎのシステムでしかない。今までは 解読されたことがほとんどな
　　　いと言われているPGPにおいてもいつかは必ず解読されてしまうのである。今のところ永久的
　　　で絶対的なセキュリティシステムはないのである。これから先も様々なセキュリティシステム
　　　が生まれ、そして破られていくだろう。そしてその時点で どのシステムが安全であり、どれが
　　　危険であるかを判断するのはそのユーザー本人でしかないのだ。ユーザーのセキュリティに対
　　　する意識によってユーザー自身のデータが完全な防護を受けられるかどうかが決まるのである。

　　　引用転載参考元ネタ
　　　http://www.center.nitech.ac.jp/~takagi/docs/InternetMagazine/96-03/
　　　http://www.nttpub.co.jp/jcua/keyword/proxy.html
　　　http://www.ir.rikkyo.ac.jp/~furuse/96/ykajimura/#chap2