ファイアウォールの設置場所について

ファイアウォールは、ネットワーク間の境界で通信を制御するための仕組みであり、設置場所はネットワーク構造に応じて複数箇所に配置されます。

以下では、典型的なネットワーク構成とともに、ファイアウォールがどこに配置され、どのような意図で設置されるかを詳しく解説します。

基本となる設置思想：境界防御

ネットワークは一般的に以下のレイヤーで構成されています。

• インターネット（外部ネットワーク）
• DMZ（公開サーバーを配置する中間領域）
• 内部ネットワーク（社内LAN・基幹システム）
• クラウド環境（AWS/GCP/Azure など）
• VPN接続環境（リモートアクセス）

ファイアウォールはこれらの「境界」に配置することで、不要な通信を遮断し、ネットワークを階層的に防御します。

典型的なファイアウォールの設置場所（オンプレミス環境）

外部ネットワークと内部ネットワークの境界

最も基本的で重要な設置場所です。

インターネット
    ↓
[ファイアウォール]
    ↓
内部ネットワーク

目的

• 外部からの不正アクセス防止
• 内部からの不要な外部通信の制御
• マルウェア通信やスキャンの遮断
• 通信ログの取得

DMZ（非武装地帯）の前後

Webサーバーやメールサーバーなどの公開システムを配置するために DMZ を設ける場合、外側・内側の両方にファイアウォールを設置します。

インターネット
   ↓
[外部FW]
   ↓
       DMZ
   ↓
[内部FW]
   ↓
内部ネットワーク

目的

• 外部FW：インターネット→DMZ のアクセスを制御
• 内部FW：DMZ に侵害が発生しても内部ネットワークへの侵入を防止

多層防御を実現するための代表的な構成です。

内部ネットワーク内のセグメント間

企業の内部ネットワークは複数のセグメントに分割されていることがあります。

例

• 管理者セグメント
• 事務エリアセグメント
• ゲスト用Wi-Fi
• IoTデバイスセグメント
• 基幹システムネットワーク

これらの境界にファイアウォール（または ACL）を設置し、内部での横移動攻撃（ラテラルムーブメント）を防ぎます。

クラウド環境における設置場所

クラウド環境では物理ファイアウォールは存在せず、以下のような仕組みで代替します。

インターネット公開部分の境界

例：AWS EC2 をインターネット公開する場合

インターネット
    ↓
インターネットゲートウェイ
    ↓
[セキュリティグループ または WAF / 仮想FW]
    ↓
EC2（Webサーバー）

制御対象

• HTTP/HTTPS の公開
• SSH など管理系ポートのアクセス制御
• 国・IP単位のアクセス制限

パブリックサブネット → プライベートサブネット間

外部公開しないアプリケーションサーバーやDBサーバーはプライベートサブネットに配置します。

パブリックサブネット（Web）
　　↓
[仮想ファイアウォール／SG]
　　↓
プライベートサブネット（DBなど）

この層によって、最小限ポートのみを許可した構成が実現できます。

VPN 終端付近

リモートアクセスやオンプレ接続を行う場合、VPN終端の前後で通信制御を行います。

VPNゲートウェイ
    ↓
[仮想FW]
    ↓
VPC内部リソース

WAF とファイアウォールの関係（順番は環境依存）

WAF（Web Application Firewall）はアプリケーション層の攻撃を防御する仕組みであり、L7を解析します。

一方、ファイアウォールは L3/L4 を中心としたネットワーク境界防御を担います。

代表的な配置パターン

パターンA（クラウド型WAF＋CDN）

ユーザー
   ↓
CDN/WAF
   ↓
ネットワークFW
   ↓
Webサーバー

パターンB（オンプレ型WAF）

インターネット
   ↓
ネットワークFW
   ↓
WAF
   ↓
Webサーバー

物理的な順番は環境により異なりますが、「FWが境界を守り、WAFがアプリ層を守る」という役割分担が基本です。

OT（工場ネットワーク）・IoT環境での設置

工場やIoT環境では、OTプロトコル（Modbus、OPC-UAなど）を扱うため、専用FWが使われることもあります。

設置例

• 工場LANと事務LANの境界
• 生産設備ネットワークと監視ネットワークの境界
• IoTセグメントの前

これらの環境は内部脅威にも弱いため、境界で区分して防御することが重要です。

中小規模環境で最低限必要な設置場所

中規模ネットワークでよく採用される構成は以下の通りです。

1. インターネット境界のファイアウォール（必須）
2. DMZ構成がある場合は前後のファイアウォール
3. 内部ネットワーク内で重要システムの前に配置するファイアウォール

多層防御を最小構成で実現できます。

まとめ

ファイアウォールの設置場所は「ネットワークの境界」に合わせて複数存在します。

構造や使用している機器により最適な配置は異なるため、実際のネットワーク構成図に応じて調整することが重要です。

以上、ファイアウォールの設置場所についてでした。

最後までお読みいただき、ありがとうございました。