筆者自身はネットワークの専門家という訳ではないのですが,所属している組織内ではそのように見られているらしく,時々問い合わせがあるのでこんなページを作ってみました.
インターネット黎明期の牧歌的な時代はとうに過ぎ去り,現在ではネットワークのセキュリティ対策をしないことは,外出する際に家の戸締りをしないことと同じこととなっています. 家の戸締りをしないことは,泥棒に入られて自分の損害を招くことになりますが,ネットワークの場合には,自分の個人情報を盗まれるばかりではなく,他のサーバを攻撃するための踏台とされてしまい,下手をすると他のサーバに与えた損害の責任を取らされる事態も生じるかもしれません.
そのため,コンピュータをネットワークにつなげる時に何らかのファイアウォールを設置することは,もはや常識や義務となっていると思います.
このパケットフィルタはネットワーク機器専業メーカが業務用として作っている製品ばかりで,後述のNATに比べると基本的にアドレス変換の機能がない(ほとんどは別ライセンスとして提供される)のですが,価格や販売店の面で個人的に入手できるような製品はほとんどありません. これを実現する製品として,以前はレイヤー3ルータがありましたが,現在ではレイヤー3スイッチと呼ばれるイーサネットスイッチがほとんどで,外見はポートが多いスイッチング・ハブにしか見えません. また,最近Allied Telesisからレイヤー3のルーティング機能を省略して,パケットフィルタに特化したレイヤー2plus スイッチが出ています. (パケットフィルタとしては安価で小組織で持つには手頃なのですが,相変わらず個人で持つには躊躇する価格です.)
これらのスイッチは,パケットを処理する専用のASICと呼ばれるチップを積んでおり,telnetやsshでスイッチにログインして設定を行うこととなります. (そのため,普通のスイッチング・ハブとは異なり,インテリジェント・スイッチと呼ばれます.) ただし,パケットの処理は各社独自の文法であり,UNIXホストを使ったNATに比べるとシェルが貧弱で対話的に設定するのは大変なので,別のPCでエディタを使ってAccess Control List(ACL)と呼ばれるパケット処理のリストを作成する,あるいはACLの文法も貧弱ならばACLを出力するスクリプトを作成し,ACLをtftpを使ってSwitchに転送することが多いのではないかと思います. パケットフィルタの運用について,ルールを設定する際の注意点や,tftpによる転送方法,シリアルポートからのログイン方法をこちらに記します.
このパケットフィルタの代表的なメーカとして以下があります. (パケットフィルタというよりもレイヤー3スイッチのメーカですが...)
以下の3つの機能をまとめた製品で,
安価なものはブロードバンド・ルータと呼ばれており,家電量販店で容易に入手可能です. また,UNIXやWindows2000以降などでは,ソフトウェアで処理を行うこともできます. (上述のブロードバンド・ルータでも,Linuxなどの組込みOSが動いていることが多いそうです.)
このNATに関しては価格や性能についてピンからキリまでありますので,まず必要なスペックと予算を決めることが重要です. 予算が潤沢ならば,業務用のNATとして例えばJuniper Networksなどがあるようです. また,前述のようにレイヤー3スイッチに追加ライセンスを付けることで,バックボーン・スイッチ+NATとして機能させることができます.
Last update: 2007.1.29