ファイアウォールを用いてシステムを防御するようなネットワーク構成には、 様々な種類があります。
ルータを通じてインターネットへ専用線接続しているなら、 ルータを直接ファイアウォールシステムに接続してもいいでしょう。 あるいはハブをかませてファイアウォールの外側にサーバ群を置き、 それらにフルアクセスを提供するかたちでもいいでしょう。
きっと読者は ISDN 回線のようなダイヤルアップサービスを利用している ことでしょう。 この場合、第三のネットワークカードを用いてフィルタリングされた DMZ 【訳注: Demilitarized Zone: 非武装化地帯】を作り出すのもいいかもしれません。 こうすればインターネットサービスを完全にコントロールできますし、 かつそれらを通常のネットワークからは切り離しておけます。
__________
_/\__/\_ | ファイア | __________________
|インター| | ウォール | (LAN) | |
/ ネット \----| システム |--(ハブ)--|ワークステーション|
\_ _ _ _/ |__________| |__________________|
\/ \/ \/ |
(DMZ)
(ハブ)
あなたのマシンとインターネットの間にルータやケーブルモデムがある場合を 考えましょう。 そのルータがあなたの所有物なら、そのルータに強固なフィルタルールを 設定できるでしょう。 ルータが ISP の所有なら、必要なコントロールを行うことは多分できないでしょう。 ISP にフィルタを設定するように頼むことはできるかもしれません。
_________ __________
_/\__/\_ | ルータ | | ファイア | _______________
|インター| | 又は | (DMZ) | ウォール | (LAN) | ワーク |
/ ネット \----|ケーブル |--(ハブ)--| システム |--(ハブ)--| ステーション |
\_ _ _ _/ | モデム | | |__________| |_______________|
\/ \/ \/ |_________| |
(外部)
(サーバ)
ネットワーク上のユーザのアクセスをモニタする必要があり、ネットワークの 規模が小さいならば、ファイアウォールにプロキシサーバを統合できます。 ISP によっては、これを行ってユーザのリストを作り、マーケティングを 行っている代理店に売っているようなこともあります。
__________
_/\__/\_ |プロキシ/ | ______________
|インター| | ファイア | (LAN) | ワーク |
/ ネット \----| ウォール |--(ハブ)--| ステーション |
\_ _ _ _/ | システム | |______________|
\/ \/ \/ |__________|
プロキシサーバは、LAN にも好きなように設置できます。 この場合、そのプロキシサーバが提供しているサービスについては、 プロキシサーバだけがインターネットに接続できるようにするべきです。 こうすればユーザはプロキシサーバを通してしかインターネットに 接続できなくなります。
__________
_/\__/\_ | ファイア | _______________
|インター| | ウォール | (LAN) | ワーク |
/ ネット \----| システム |--(ハブ)--| ステーション |
\_ _ _ _/ |__________| | |_______________|
\/ \/ \/ | ______________
| | |
+----|プロキシサーバ|
|______________|
YAHOO や SlashDot のようなサービスを稼働させるつもりなら、冗長なルータと ファイアウォールを用いてシステムを構築したくなることでしょう。 (High Availability HowTo をご覧になってください。) 【訳注: Linux High Availability HOWTO は http://www.ibiblio.org/pub/Linux/ALPHA/linux-ha/High-Availability-HOWTO.html にあります。 High Availability は「高可用性」を意味します。】
1つの URL と複数の ISP から複数の web サーバへのアクセスを提供する、 round-robin DNS の技術を使えば、単一の URL に対するアクセスを 複数の web に捌くことができます。 そして High availability 技術を使っている ISP・ルータ・ファイアウォールを 複数用いることによって、 100% フル稼働のサービスを実現できます。
【訳注: round-robin とは、円形に署名した請願書を意味します。 ここでは DNS にある一つの URL に対して複数のサーバの対応関係を列挙し、 多数のクライアントの要求に対してそのリストを順番に使用することにより、 負荷分散を実現する手法です。 DNS の最後のエントリに到達したら最初に戻って使い回す有り様を round-robin という言葉で説明しています。】
_/\__/\_ _/\__/\_
| | | |
/ ISP #1 \______ (WAN)______/パートナー\
\_ _ _ _/ | (ハブ) \_ _ _ _/
\/ \/ \/ | ___|____ \/ \/ \/
__|___ |_______ |
_/\__/\_ |_____ | |ファイア|| ______
| | | || (DMZ) |ウォール|| (LAN) | |
/ ISP #2 \--|ルータ||--(ハブ)--|システム||--(ハブ)--| WS/s |
\_ _ _ _/ |______| | | (VPN) | | |______|
\/ \/ \/ | |________| | ________
| (外部) | | | |
------ | (サーバ) (共有) +-----|プロキシ|
| WS/s | | (サーバ) |________|
| VPN |-+
|______|
ネットワークはすぐにあなたの手に負えなくなるものです。 全ての接続を把握し続けてください。 ユーザがモデムを持っていて、そのモデムから LAN に侵入されたら、 LAN は危機に陥ります。