構成機器のタイプ
 FirewallのNW構築
 Firewall BOXのNAT

  ファイアウォール構成機器のタイプ
 ・パケット・フィルタリング型
IPヘッダからIPアドレスを識別
TCP/UDPヘッダからポート番号を識別
TCPプロトコルであれはヘッダのフラグを利用
カーネルレベルで行うと処理が速い
パケットのヘッダ部を読み取る(処理が高速だがAPレベルの制御が出来ない)
Linux:「iptables」
 ・アプリケーション・ゲートウェイ型(プロキシ)
識別をアプリケーションレベルで行う
APレベルの制御が出来るが、処理がパケット・フィルタリング型より遅い。
 ・ステートフル・インスペクション型
ファイアウォールを通過するパケットの状態を記憶し、1つのデータの流れとして制御
ヘッダとデータの識別を、一般にカーネルレベルで行うため処理が速い。

 ファイアウォールのネットワーク構築
 ・ファイアウォールBOXに4枚のNIC
1枚目はインターネットへ
2枚目は社内へ
3枚目はDMZ(Demilitarized Zone)へ
4枚目のNICにDBやAPサーバー(動的コンテンツ)をつなぐ。
DMZ上の特定のサーバーのみアクセスできる。
社内のネットワークからもBD等を隔離し、運用しやすい。
 ・ファイアウォールBOXを2台に分離
ファイアウォールBOXへの負荷集中の緩和
セキュリティが高まる

 ファイアウォールBOXのNAT(DMZ内のサーバーへもプライベートアドレス)
 ・静的NAT(Network Address Translation)
アドレスを常に1対1で固定されて変換
 ・動的NAT(IPマスカレード)
1つのグローバルアドレスを動的に複数のクライアントで共有