ポート転送とファイアウォールの実際の違いは何ですか?
では、家庭用 ADSL ルーターに組み込まれているいわゆるファイアウォールは、実際にネットワークを保護するために何かするのでしょうか?
答え1
2 番目の質問について触れます。消費者向けルーターが行う唯一のことは、ネットワークに NAT レイヤーを提供することです。ほとんどのルーターは、ステートフル パケット インスペクションと呼ばれるものを使用してこれを行います。これは、LAN から開始されたすべての接続を、通常の TCP/IP 手段によって破棄されるか、一定期間アクティビティがないとタイムアウトするまで追跡する、という言い方です。これにより、ネットワーク内部から開始されたトラフィックのみが通過できるため、ネットワークに一定レベルのセキュリティが提供されます。これには、UPNP とポート フォワーディングなどの例外があり、これらは要求されていないトラフィックを転送できます。
企業のファイアウォールが基本レベルで提供しているが、消費者向けデバイスでは提供されていないのは、受信トラフィックと送信トラフィックにルールを設定する機能です。たとえば、特定のポートまたはホストとの間のトラフィックをブロックしたい場合などです。また、ルールが適用されるタイミングを定義するスケジュールを設定することもできます。ただし、他の人が述べているように、場合によっては企業のハードウェアにファイアウォールを超える追加機能があることもありますが、それはここでの質問の範囲を超えています。
答え2
ポート転送ファイアウォールが実行できる多くの機能の 1 つです。2 番目の質問に関しては、モデムによって異なります。あなたの質問は、基準をかなり低く設定しています。つまり、何もないよりはましですか? ということです。はい、ほとんどのファイアウォールは保護を提供します。Cisco ASA 5505 と同じくらい堅牢で機能豊富になりますか? いいえ。だからといって、400 ドルをかけて ASA 5505 を購入する必要がありますか? これも状況によります。ホーム ユーザーの場合、ADSL ルーター/モデムに組み込まれているファイアウォールは、オンになっていて適切に設定されていると仮定すると、おそらく十分です。ホーム オフィスがあり、堅牢なセキュリティ機能とサポート、信頼性が必要な場合は、ぜひ 400 ドルを費やしてください。それ以外の場合は、ファイアウォールが実際にオンになっていて、完全に開いていないことを確認してください。
余談ですが、私は Cisco を例として挙げました。真の SOHO ファイアウォールに興味があるなら、Watchguard、Fortinet など他の選択肢も検討できます。
答え3
私の経験では、家庭用ルーターには、容量、ログ記録、アカウンタビリティ (RADIUS または TACACS のサポート)、ルールセットの複雑さ、冗長性、ハードウェアの信頼性、サポートされる物理ネットワークの数、VLAN、VPN コンセントレータ、侵入検知センサーなど、家庭用ネットワークでは必要のない多くの機能が欠けています。
ホームルーターは設定ミスが起きにくく、複雑さはセキュリティの敵です... ですから、私が挙げた機能のいくつかが必要なのでなければ、一般的には大型のものより優れていると言えます。
答え4
ファイアウォールと保護について議論するわけではありませんが、最も効果的な保護は、定期的なセキュリティ パッチとファイアウォールです。家庭用ルーターに組み込まれたファイアウォールはファイアウォールとして機能しますが、単純な Web 閲覧からコンピューターに感染する可能性のある、自己感染型のウイルス、エクスプロイト、トロイの木馬の多くを阻止することはできません。同じことはウイルス対策ソフトウェアにも当てはまり、ほとんどのソフトウェアは、新しいエクスプロイトやユーザーによるエクスプロイト (クリックしたり、訪問すべきでない場所にアクセスしたりすること) にはほとんど役に立ちません。家庭のセットアップでは、ポート転送により、そのポート転送の受信者であるコンピューターがそのポートに対する潜在的な攻撃にさらされることになります。