web-dev-qa-db-ja.com

ルーターにファイアウォールが必要なのはなぜですか?

新しいルーターを購入したばかりですが、いつものように、ルーターの製造元がファイアウォールを大いに活用しています。

ファイアウォールが必要な理由を理解したことがありません。確かに、DoS攻撃(syn-floodなど)を阻止することは素晴らしいことですが、それが私が考えることができる唯一の有用なことです。

(手動でnatエントリを追加して)外部インターフェイスに公開するサービスにパッチが適用されていないエクスプロイトがない限り、私のLANはすでに外部エージェントに対して安全ではありませんか?

networkfirewallsrouting
7
monoceres

以前に尋ねた次の質問をお読みください。

彼らはあなたの質問のすべてに答えます。

短いバージョンは次のとおりです。

  • NATは、すべての受信接続がブロックされることを自動的に意味するわけではありません 。 NATとファイアウォールは原則として直交です。一般的に、ほとんどのNATボックスは、ファイアウォールのような保護を提供することもあり、着信接続をブロックする傾向があります。これは、NATの固有のプロパティまたは必要なプロパティではありません。NATを提供するほとんどのコンシューマデバイスも、この種のファイアウォールを提供しているだけです。

  • インバウンド接続をブロックすること(ファイアウォール機能またはNAT機能)に起因するものかどうか)は、一般的なクラスの攻撃に対して十分に機能する基本的な防御レベルを提供します。事。

  • いいえ、ファイアウォールもNATも、ネットワークが外部エージェントに対して完全に安全であることを意味しません。インバウンド接続をブロックすることは、特定の攻撃に対してある程度の防御を提供しますが、決してすべての攻撃に対してではありません。

しかし、実際には以前の答えを読む必要があります。私はそこで行われた優れた点のすべてを繰り返すつもりはありません。

7
D.W.

実際には、ポートアドレス変換に依存することで、ファイアウォールの(貧弱な形式の)ファイアウォールを既に持っています。私はあなたがあなたの投稿の内容によって本当にポートアドレス変換をしていると思います。あなたが尋ねている質問は、なぜファイアウォールにファイアウォールが必要なのかということです。ネットワークアドレス変換がある場合は、特定のサービスを外部インターフェイスに公開するだけではありません。 IPを外部に公開することで、アクセスできるサービスを制御できなくなります。

質問に答えるために、ポートアドレス変換を行っていて、パッチを当てた特定のサービスのみをインターネットに公開している場合、ファイアウォールが必要なのはなぜですか。そうしない。

なぜインターネットからネットワークに直接ルーティングできるポートとアドレスを制限する必要があるのか​​と質問された場合、私は本当にあなたを助けることができません。

4
Vetsin

NAT/PATとステートフルパケットインスペクションを実行できるファイアウォールとの間にはかなり大きな違いがあります。

まともなファイアウォールは、着信パケットが未承諾であるか、内部ホストによって要求されたかを実際に確認できます。これにより、ポートスキャナーやその他の侵入の試みからの多くの不要なトラフィックを防ぐことができます。

また、プロトコルを認識し、ポート21で開始するFTPトラフィックのようなものを処理できます。

また、VPN、コンテンツフィルタリングなどの他のサービスを提供し、監査目的でトラフィックをログに記録できます。

1
InChargeOfIT