ファイアウォールの「スクリーンサブネット」とは？わかりやすく解説

スクリーンサブネットとは？

ファイアウォールは指定された通信のみを許可し、不正アクセスの危険から内部ネットワークを守る防御壁です。

ここからは、そのファイアウォールの構造として知られている「スクリーンサブネット」の特徴やそのメリット・デメリットについて解説します。

最も一般的なファイアウォールの構造

スクリーンサブネットはファイアウォールの構造の中で最も一般的な構造です。まずはスクリーンサブネットの前に「スクリーンホスト構造」を理解しておきましょう。

スクリーンホスト構造は、外部ネットワークと内部ネットワークの間にスクリーニングルータと要塞ホスト設置します。スクリーニングルータは外部側、要塞ホストは内部側に位置します。要塞ホストは通信を振り分け、許可がない外部通信は内部に届くことはありません。

一方、スクリーンサブネットはスクリーンホストを拡張したもので、内部ネットワークと要塞ホストの間にDMZ（非武装地帯）を置きます。

その実現方法のひとつとして、スクリーニングルーターを２台準備し、１台を内部ネットワークとDMZの間に設置します。外部と内部の間にサブネットを挟むことで、外部から内部への攻撃・内部から要塞ホストへの攻撃を阻止できます。

メリット：安全性を強化できる

スクリーンサブネット構造にすることで安全性を強化することが可能です。スクリーンサブネットは要塞ホストと内部ネットワークの間にDMZを構成することで、外部から要塞ホストへ攻撃されても、DMZがあるのでガードできます。

さらに内部コンピュータがウイルス感染し、内部から要塞ホストを攻撃しようとしても、DMZによって阻止されます。また、１台目のスクリーニングルータが突破されたとしても２台目のスクリーニングルータで通信を阻止できる可能性が高くなります。

用途の異なる複数のネットワークがある場合は、それぞれのネットワークの出入り口にスクリーニングルータを設置することで、より安全性を高められるでしょう。

デメリット：構築に手間がかかる

スクリーンサブネットのデメリットは、構築に手間がかかるということです。

単純にスクリーニングルータの台数が増えるため、その分構築に時間がかかるのは当然です。さらにファイアウォールの構成が複雑になることで構成ミスが発生しやすくなります。

具体的には本来許可しなければならないアクセス拒否してしまったり、反対に拒否すべきアクセスを許可してしまったりです。そのため、より慎重な設計やテストが必要で構築にかかるコストが高くなる傾向があります。

他のファイアウォール構造との違い

ファイアウォール構造にはスクリーンサブネットのほかにも「スクリーンホスト」「デュアルホーム」があります。それぞれの違いについて解説します。

スクリーンホスト構成との違い：サブネットの有無

スクリーンホストは１台のスクリーニングルータで構成し、サブネット(DMZ)が存在しません。そのため、内部から要塞ホストが攻撃されてしまうと、内部情報が漏れてしまいます。同様に、外部からも要塞ホストが攻撃されてしまうと、簡単に内部へ侵入できます。

スクリーンサブネットはこういった問題を解消するため、サブネットをつくり、外部・内部両方からの攻撃を防御します。

デュアルホーム構成との違い：通信の経路

デュアルホームは１台もしくは複数のデュアルホームホストで構成します。デュアルホームでは、ホストのプロキシを経由して通信を行います。そのため、ホストコンピュータが攻撃されてしまうと、内部ネットワークの防御はできません。

一方、スクリーンサブネットではサブネットを経由しますので、安全な通信が可能です。

ファイアウォールを構築するポイント

ファイアウォールを構築する際に考慮するポイントを解説します。

ファイアウォールの役割・自社の目的は何か

まずはファイアウォールの役割と、それで自社の目的を達成できるか考慮する必要があります。自社のシステムがどのような脅威にさらされており、ファイアウォールによってその脅威を取り除くことが可能かどうかを確認しましょう。

ファイアウォールの役割は、外部からの不正なパケットを遮断して攻撃から自社のシステムを守ることです。自社のシステムが外部から自由にアクセスできる環境に置かれているのであれば、ファイアウォールの導入で脅威を減らすことができます。

どの種類のファイアウォールを使うのか

ファイアウォールは大きく、「パケットフィルタリング型」と「アプリケーションゲートウェイ(プロキシ）型」に分類されます。コストやセキュリティ強度、運用効率などを考慮し、どのタイプのファイアウォールを使用するか決定しましょう。

パケットフィルタリング型

宛先・送信元・通信プロトコル・ポート番号の組み合わせで許可する通信、拒否する通信を決定します。

データ通信は「パケット」という単位でやり取りされます。パケットには宛先や送信元、通信プロトコル、ポート番号といった情報（ヘッダ）が付与されており、この情報を参照して通信の可否を決定します。

パケットの内容までチェックしないため高速に処理することが可能ですが、ヘッダ情報の偽装やWebアプリケーションの脆弱性を突いた不正アクセスを防ぐことはできません。

アプリケーションゲートウェイ(プロキシ)型

外部ネットワークと内部ネットワークの間にあるプロキシサーバが代理となって通信を行いうのが、アプリケーションゲートウェイ(プロキシ)型です。

外部ネットワークからの通信は一度プロキシが受け取り、パケットの内容を精査した上で問題がない通信のみ内部ネットワークへ転送します。内部ネットワークからの通信も同様に、プロキシサーバから外部ネットワークへ転送されます。

パケットフィルタリング型と異なり、パケットのヘッダだけでなく内容までチェックします。そのため細やかなアクセス制御が可能ですが、処理速度はパケットフィルタリング型に比べ遅いのが短所です。

ファイアウォールの構成を理解して最適な対策を行おう

ファイアウォールにはスクリーンサブネット、スクリーンホスト、デュアルホストといった構造があります。

中でもスクリーンサブネットは、外部からの攻撃に対して二重の壁を設置。ネットワーク内部からの攻撃にも強いという特徴を持ちます。しかし構築に手間がかかるというデメリットもあります。

ファイアウォールを導入する際は構成や防御の仕組みについて十分に理解し、自社の目的にあった最適な対策を行いましょう。