今では、企業などで社内ネットワークをインターネットに接続(専用線で)する場合、その間にファイアーウォールを入れるのが常識になっています。大学とかの場合には入れないケースが多いかも知れませんけど。
ファイアーウォール(fire wall、本来の意味は「防火壁」ですね)は、インターネット側からの不正なアクセスから内部のネットワークを守る役割を果たします。インターネット側のコンピュータと内部のネットワークにあるコンピュータとの間の通信はかならずこのファイアーウォールを通りますから、ここで不正なアクセスであるかどうかを監視して、不正なものであればここで捨ててしまいます。
ファイアーウォールは、専用の装置(と言っても、ルータにそういうソフトウェアを入れたものが多い)だったり、コンピュータ(UNIXワークステーションが多い)にソフトウェアを入れたものだったりします。主な方式としては、アプリケーションゲートウェイとパケットフィルタリングがあって・・・・となりますが、別にここでファイアーウォールの仕組みの講義をしよう、というわけではありませんので、これは止めておきます。
ファイアーウォールの考え方の基本は、まず「壁」を作ります。この「壁」はすべての通信を遮断します。でも当たり前のことですが、これでは、内部のネットワークをインターネットに繋いだことにはなりませんね、通信できないわけですから。そこで次に、この壁に穴を開けて行きます。この穴は「こことこことの間のこういう通信は許す」という形で行います。たとえば「内部のネットワークにあるクライアントとインターネットにあるWWWサーバーとの間の通信は許す」という風に。
あんまり沢山の穴を開けると、ファイアーウォールの意味が無くなってしまいますから(壁に馬鹿でっかい穴が開いたところを想像してみてください)、この穴は最小限に止めるのが常識です。
ところがですね、ユーザー側から見たら、ファイアーウォールなんて目障りなだけの存在なんですね。例えば「自分は、WWWだけではなく、ftpやtelnetで外部と接続したいのに、ファイアーウォールではねられてしまう」とか思っているかも知れないのです。そこで、ユーザーと(ファイアーウォールを管理している)システム管理者の戦いが始まるのです。
出来るだけ制限なしにインターネットと接続したいユーザーと、壁にできるだけ穴を作りたくないシステム管理者と。私はシステム管理者ではありませんから、この戦いを傍から見て面白がっているだけだったりするのですが・・・時々、横から火に油を注いだりして(一番タチが悪い(^^;))。
あるとき、あるユーザーが制限なしでインターネットと接続したい、と言ってきたことがありました。よく聞いてみると、外にあるニュース(NetNews)サーバーと接続したい、ということでした。うちでは社内にニュースサーバーを立てているので、それでは駄目なの?と聞いたところ、社内のニュースサーバーには無いニュースグループを見たい、とのことでした。私は漏れ聞いただけなので黙っていましたけど、どうも「えっちな画像のいっぱいあるニュースグループ」を見たいだけだったように思います(^^;) 別に出来る範囲でこっそりやる分にはかまわんと私は思いますけど、わざわざシステム管理者にまで言ってくるかなぁ、それも上司を通して(^^;) そういう系統のことになると、ものすごいパワーを発揮する人っていますよね、ふだんはズボラのくせに。
話はずれますが、私も嫌いなわけじゃ無いですし、否定する気もさらさら無いのですけど、インターネット上の「そっち」系の情報って、何らかの方法で分離できないものかなぁ、なんて思います。ある意味、インターネットの普及の牽引車になってきたことは事実ですし、別に見たい人が見たい時に見たい方法で見る分にはまったく構わないのですが、そうじゃない場合というのもあるんですよね。
例えば、私なんかWebはほとんど会社で見ているのですが、「なんか面白いページ無いかなぁ〜」なんてgooあたりでキーワード検索して、見に行くと、いきなりどど〜んと●△◆☆な写真とかイラストが・・・・(^^;)「あわわわわわ」とか言って慌ててウィンドウを閉じる、なんてことを繰り返していると・・・・。
そう言えば、会社のある人は、裸のおにーちゃん同士が◎×している写真を偶然開いているところを人に見られて「あいつはそういうシュミらしい」という噂が社内中に広まってしまったことも。
すみません、話をもとに戻します。
とにかく、ファイアーウォールの設定は、そこのネットワークセキュリティに関する方針を反映しています。セキュリティに関する確固とした考え方が無いと、ファイアーウォールを導入したからと言って安全である、とは言えません。極端な話、でっかい穴を開けられたら、壁の意味が無いですからね。
それにファイアーウォールは、外部からの不正なアクセスについては護ってくれますが、内部のネットワークの不正なアクセスについては全く無力です。もちろん、内部のネットワークを分割して、その間にファイアーウォールを入れれば別ですが。
これはうちの会社の話ではなくて、伝聞なのですが、ある会社で、社内の電子掲示板に何者かが、従業員の人事考課表を載せた、という事件があったそうです。もちろん人事考課表なんてマル秘の書類でしょうけど、Excelの表になっているものがどこからか漏れたらしいです。いろいろ調べたところ、ネットワークに繋がっている人事部のパソコンから盗まれたものらしい、と分かりました。そのパソコン、WindowsNTを入れていて、インストールした人間が何も考えずにftpサーバーの機能まで入れてしまっていて、なおかつanonymous(匿名)でのログインを許可してしまっていました。もう「どうぞ、情報を盗んでください」と言わんばかりですね(^^;)
最近は外部ばかりでは無く、内部の人間による不正アクセスを真剣に考える必要が出てきているようです。
ところで、これをご覧になられている方で、会社とかからのアクセス(これも実はプロバイダを経由しているのですが)ではなくて、プロバイダ経由(アクセスポイントに電話をかけて)でアクセスされている方も多いことと思います。この場合には一般的には、途中にファイアーウォールが入りません(中には入っているところもありますが、その場合には、出来ることが制限されます)。
ですからこの場合、皆さんのパソコンは直接インターネットに接続されていることになります。インターネットから見たら、皆さんのパソコンもインターネットを構成するコンピュータ(「ホスト」と呼んだりします)の一つになるわけです。そこには、クライアントだ、サーバーだという区別はありません。もし、皆さんのパソコンでサーバー機能が動作していれば、外部からのアタックを受けることになります(ちょっといい加減な表現ですが)。下手すると、ハードディスクの内容が丸見えになってしまっているかも知れません。
意外とこのことは知らない人が多いです。「自分は電話をかけて繋いでいる末端のユーザーだから・・・」と思っている人も多いですけど、インターネットにはそういう区別は無いんですね。みんなが平等なんです。だから、平等に悪いことをされる可能性があるわけです。