ネットワーク境界の可視化
会社のネットワークを守る代表的な仕組み——ファイアウォール・DMZ・フォワードプロキシ・リバースプロキシを、1枚の構成図で理解します。シナリオを選ぶと、通信(パケット)が図の上をどう流れる(または遮断される)かをステップで追えます。
いま何が起きているか
図の中の各機器をクリックすると、その役割の説明が上のカードに出ます。
登場人物(それぞれの役割)
ファイアウォール(防火壁) … 通してよい通信だけを許可し、それ以外を遮断する「関所」。基本ルールは「既定で拒否(デフォルトDENY)、必要なものだけ許可」です。
DMZ(非武装地帯) … Webサーバーなど外部に公開するサーバーを置く隔離区画。外側と内側のファイアウォールに挟まれ、ここが破られても内部本体は守られます。
フォワードプロキシ … 内部の利用者の「代理」で外部へアクセス。閲覧先のフィルタリング・ログ記録・キャッシュを行います。
リバースプロキシ … 外部からの入口を「代理」で受ける。SSL/TLS終端・負荷分散・内部サーバーの隠蔽・キャッシュを行います。
フォワード と リバース、何が違う?(最重要)
どちらも「代理(プロキシ)」ですが、代理する向きが逆です。ここが試験でも実務でも混同ポイントです。
| フォワードプロキシ | リバースプロキシ | |
|---|---|---|
| 代理する相手 | 内部の利用者(クライアント) | 外部に公開するサーバー |
| 通信の向き | 内 → 外 | 外 → 内 |
| 主な目的 | フィルタリング・ログ・キャッシュ | SSL終端・負荷分散・サーバー隠蔽 |
| 隠れるのは | 社員(クライアント)のIP | 内部サーバーの存在・IP |
覚え方:フォワード=「行き(内→外)の代理」、リバース=「逆向き(外→内)の代理」。
なぜ公開サーバーをDMZに置くのか
公開Webサーバーは「誰でもアクセスできる」ため、もっとも攻撃を受けやすい場所です。これを内部ネットワークに直接置くと、サーバーが乗っ取られたときに社内の機密情報まで一気に危険になります。そこで外部FWと内部FWの間(DMZ)に隔離して置くことで、万一DMZのサーバーが破られても、内部FWが「DMZから内部への不要な通信」を止め、被害を内部に広げません。シナリオ④で、外部から内部への直接侵入が遮断される様子を確認してください。
HTTPS と SSL/TLS 終端について
シナリオ②のリバースプロキシでは「SSL/TLSを終端する」と出てきます。これは、暗号化されたHTTPS通信をリバースプロキシでいったん復号(終端)し、そこから先(内部)は処理を肩代わりする仕組みです。証明書の管理や暗号化処理をプロキシに集約でき、内部サーバーの負荷を下げられます。SSL/TLS証明書そのものの仕組み(認証局による「信頼の連鎖」やTLSハンドシェイク)は、別の可視化コンテンツとして用意予定です。
基本情報技術者試験ではこう出る
「公開サーバーを設置する区画はどれか(→DMZ)」「内部利用者の代理で外部アクセスし、URLフィルタリングやキャッシュを行うのは(→フォワードプロキシ)」「外部からのアクセスを受け、内部サーバーを隠蔽するのは(→リバースプロキシ)」といった、役割と名称を結びつける問題が定番です。ファイアウォールの「デフォルト拒否」の考え方や、パケットフィルタリングの動作も問われます。図と通信の流れで体に入れておくと、用語の暗記がぐっと楽になります。
よくある質問
Q. ファイアウォールが2つあるのはなぜ?
A. 「外部—DMZ」と「DMZ—内部」で守りたいものが違うからです。外部FWは公開サーバー向けの通信だけを通し、内部FWは内部への不要な通信を止めます。2段構えにすることで、1段目が破られても2段目で守れます(多層防御)。1台のファイアウォールを3つの口(外部・DMZ・内部)で分ける構成もあります。
Q. プロキシとファイアウォールは何が違う?
A. ファイアウォールは「通す/止める」を判断する関所、プロキシは「代理でアクセスする」中継役です。役割が異なり、組み合わせて使います。プロキシは通信の中身(URLやHTTPの内容)まで見て制御できるのが特徴です。