セキュリティ的な話

とりあえず、わかりやすいところで以下の2種類の考え方があるかと思う。
１．ネットワークを繋ぐためのものなので、基本は通信をすべて通す。セキュリティはおまけ。
２．ネットワーク間のセキュリティを担保するためのものなので、必要な通信だけ通す。

セキュリティを設定する際、「１」はブラックリスト形式で設定を行う。
「２」はホワイトリスト形式で設定を行う。

扱ったことのある機器の設定だと「１」に属するのは
　・ルーター
　・L3スイッチ
　・L2スイッチ
　・無線LANアクセスポイント(以下AP)
うち「ルーター」と「L3スイッチ」については、各インターフェースが属するセグメントを跨いだ通信に対してACLで通信の制御を行うものが多い。セグメント単位での軽い「認可」ということになるかと思われる。
次に「L2スイッチ」と「AP」についてはあまりACLでの制御をおこなうものはなく、セキュリティ的には「認証」によるリンクアップ・リンクダウンの制御が主となる印象です。
あと、意外なところではIPS専用機はこちらのブラックリスト形式で基本は通信を通すものであるかなと考えています。
他には最近分かったとこで、通信を通す・通さないの観点ではフォワードプロキシサーバもこちらに分類されるかな。

「２」に属するところで真っ先に挙げられるのはやはりネットワークファイアウォール(以下FW)かな。
ACL(FWでいうところのポリシー)のデフォルト値が「拒否(Deny)」になっているというところで分かりやすいですね。
もちろんFWの派生であるUTMやNGFWもこちらに分類されますね。
あとは、プロキシでもリバースプロキシだとこちらに分類されることが多いかな？
リバースプロキシの延長で「SSL-VPN」や「WAF」なんかもこちら側の機器課と思います。
余談ですが、WAFはリバースプロキシにWebサービス限定のIPSを乗せるという発想だと思っています。

分類が難しいのはロードバランサー(以下LB)かなあ。ネットワークを繋ぐ機器ではあるのだけれど、特定のサービスをバックエンドのサーバに負荷分散させるという性質上「２」に近いかな、と思います。
ネットワーク上の配置場所がWAFと同じために、LBにWAFをくっつけた製品が多いのもその印象を後押ししているかもしれません。

最近はSWGやらCASBといった新しいカテゴリの機器も出てきていますが、蓋を開けてみると意外と既存カテゴリの機器の機能をクラウドに持って行っただけだったりするので、旧来の機器の考え方を見直してみると、意外と設定がうまくいくかもしれません。
（ただしクラウドベース固有の部分があったりするのがちょっと悩ましいですが)

書いている途中で若干趣旨がズレてきた気もするので、今日はこのあたりにしておきます。