技術共有

한어Русский языкEnglishFrançaisIndonesianSanskrit日本語DeutschPortuguêsΕλληνικάespañolItalianoSuomalainenLatina

さまざまなファイアウォール展開モードがあり、各モードには固有のアプリケーション シナリオ、利点と欠点があります。ファイアウォールの主な展開モードは次のとおりです。

1. 動作モードによる分類

1. ルーティングモード
   • 意味: ファイアウォールが内部ネットワークと外部ネットワークの間に配置されている場合、ファイアウォールを内部ネットワーク、外部ネットワーク、DMZ (非武装地帯) に接続するインターフェイスは、異なるネットワーク セグメントの IP アドレスと元の IP アドレスを使用して構成する必要があります。ネットワーク トポロジを再計画する必要があります。現時点では、ファイアウォールはルーターに相当します。
   • 特徴：
     • ファイアウォールの Trust ゾーン インターフェイスは企業の内部ネットワークに接続され、Untrust ゾーン インターフェイスは外部ネットワークに接続されており、これらは 2 つの異なるサブネット内にあります。
     • ACL (アクセス コントロール リスト) パケット フィルタリング、ASPF (アプリケーション層ステートフル検出ファイアウォール) 動的フィルタリング、NAT (ネットワーク アドレス変換) 変換などの機能を実行できます。
     • ネットワーク トポロジを変更する必要があり、内部ネットワーク ユーザーはゲートウェイを変更する必要があり、ルーターはルーティング設定を変更する必要がありますが、これは比較的複雑です。
   • 該当シーン: 主に、NAT、ルーティング、ポート マッピング、その他のシナリオのエクスポート展開と構成に使用されます。
2. トランスペアレントモード
   • 意味: トランスペアレント モードでは、既存の構成を変更せずに、ファイアウォールがブリッジのようにネットワークに挿入されます。
   • 特徴：
     • ファイアウォールは、レイヤー 2 を介して外部に接続します (インターフェイスには IP アドレスがありません)。
     • ポートマッピング機能、NAT機能は使用できません。
     • これは主に、2 つの異なるセキュリティ ドメインの境界保護を提供するためにネットワーク内で直列に使用され、トポロジ構造の変更によって引き起こされる問題も回避できます。
   • 該当シーン: ネットワーク構造は変更しない必要があるが、セキュリティ保護を強化する必要があるシナリオで一般的に使用されます。
3. ブレンドモード
   • 意味: ファイアウォールには、ルーティング モードとトランスペアレント モードで同時に動作するインターフェイスがあります (一部のインターフェイスには IP アドレスがあり、一部のインターフェイスには IP アドレスがありません)。
   • 特徴：
     • 内部ネットワークと外部ネットワークは同じサブネット上にある必要があります。
     • 主にトランスペアレント モードでのデュアル マシンのバックアップに使用されます。現時点では、VRRP (Virtual Router Redundancy Protocol) 機能を有効にするインターフェイスに IP アドレスを設定する必要があり、他のインターフェイスには IP を設定する必要はありません。アドレス。
   • 該当シーン: あまり一般的ではありませんが、主に特定の高可用性要件のシナリオで使用されます。

     

2. ネットワーク構造による分類

1. 単層ファイアウォールモード
   • 意味: ネットワークへの 1 つの入口にのみファイアウォールを設定します。すべてのデータ トラフィックはこのファイアウォールを通過し、その管理とフィルタリングを受け入れる必要があります。
   • 特徴：
     • 導入も管理も簡単です。
     • 保護機能は比較的弱く、攻撃者によって簡単に回避される可能性があります。
   • 該当シーン: 小規模ネットワークまたはセキュリティ要件の低いシナリオに適しています。
2. 2層ファイアウォールモード
   • 意味: ネットワークの入口に 2 つのファイアウォールを設置し、内側と外側をそれぞれ DMZ ゾーンと内部ネットワークとします。
   • 特徴：
     • 強力な保護能力があり、さまざまな方向からの攻撃を効果的に防ぐことができます。
     • 導入と管理は比較的複雑です。
   • 該当シーン: 中規模および大規模のネットワーク、または高度なセキュリティ要件が必要なシナリオに適しています。
3. 3層ファイアウォールモード
   • 意味: ネットワークの入口に 3 つのファイアウォール (内部ネットワーク、DMZ ゾーン、外部ネットワーク) を設定し、各ファイアウォールがデータ トラフィックを検出して管理します。
   • 特徴：
     • 保護機能は非常に強力で、さまざまな方向からの攻撃を効果的に防ぐことができます。
     • 導入と管理は比較的複雑で、ネットワーク トポロジとセキュリティ ポリシーの包括的な計画と設計が必要です。
   • 該当シーン: 大規模なエンタープライズ ネットワークや、非常に高いセキュリティ要件が必要なシナリオに適しています。
4. 集中型ファイアウォールモード
   • 意味: 複数のファイアウォールの管理と構成を中央コンソールに一元化します。
   • 特徴：
     • 管理と設定は比較的便利で、すべてのファイアウォールを均一に管理および制御できます。
     • すべてのトラフィックが単一のコントロール ポイントを通過するため、保護は比較的弱いです。
   • 該当シーン: 複数のファイアウォールの統合管理と制御が必要なシナリオに適しています。
5. 分散ファイアウォールモード
   • 意味: 複数のファイアウォールが異なるネットワーク ノードに展開されており、各ファイアウォールは独立した管理および制御機能を備えています。
   • 特徴：
     • 保護機能は非常に強力で、さまざまな場所にあるファイアウォールを通じてさまざまなネットワーク ノードを保護できます。
     • 管理と構成はより複雑です。
   • 該当シーン: 大規模、複雑、または分散型のネットワーク構造に適しています。

要約すると、ファイアウォールにはさまざまな導入モードがあり、特定のネットワーク アーキテクチャ、セキュリティ要件、管理要件などの要素に基づいて適切な導入モードを選択することが非常に重要です。