@network Cisco・アライド実機で学ぶ > TCP/IP入門 > 動的フィルタリング(その1)

 Amazon
@network Cisco・アライド実機で学ぶ
◆動的フィルタリング(その1)

※ネットワークの学習は、TCP/IPを学ぶことから始めることをオススメします。TCP/IPは、今日のLANやインターネットを支えている重要な技術になっています。ここでは、これからネットワークを学ぼうとする方に必要なネットワークの用語やテクノロジーの紹介、そして、TCP/IPプロトコルの基礎知識を中心に説明してゆきます。
 資格取得が就職、転職、派遣に有利なのは確かですが、「資格=即戦力」とは言えません。実機を操作して資格取得と同時に就職・転職・派遣後に求められるエンジニア(仕事・ジョブ・ワークの達人)としての即戦力を養いましょう。

スポンサードリンク

◆動的フィルタリング(その1)

静的フィルタリングには、弱点があります。

 それは、内側から外側へパケットが流れていないときも、戻りのパケットのためにを穴を開けておかなければならないということです。


 上の図の例では、内側から外側にあるWebサーバへのアクセスがない場合、外側から内側への侵入経路である「IN」の穴は、開けておく必要はありません。そこから、許可すべきでないパケットを通過させてしまう可能性があります。


 TCPヘッダの中身を確認できるファイアウォールであれば、TCPヘッダ内ののSYNやACKフラグのハンドシェイクの状態を確認して、内側から発したパケットの戻りでないパケットを遮断することができますが、ハンドシェイクの状態を偽装されれば通過させてしまうこととなります。

 また、UDPの場合は、UDPヘッダ内にSYNやACKフラグがないので、ハンドシェイクの状態も確認することすらできません。

 静的フィルタリングでは、常時、経路となる穴を開けておかなければならないので、その開けたままの状態となる穴が弱点となります。

アプリケーションによっては、非常にたくさんの穴を開けておかなければならないものもあります。

例えば、DirectXを使用するゲームでは、以下のポート番号の通信を開けておく必要があります。

プロトコル ポート番号
UDP 2300 〜 2400
TCP 2300 〜 2400
TCP 47624
UDP 6073
※DirectXのバージョン、ホストかクライアントであるのか、ゲームの種類によって異なります。

内部で使用するアプリケーションの種類が多ければ多いほど、たくさんの穴を開けておく必要があります。


上図のように穴だらけだと、セキュリティ面で心配です。

 セキュリティを確保するには、通過させたいときにだけ、穴を開けたいところなのですが、静的フィルタリングでは、それができないのです。

そこで、静的フィルタリングの弱点を解消するために考えられたのが、動的フィルタリングなのです。

 動的フィルタリング機能を備えるファイアウォールが、非常に高価なものでしたが、最近では安価なルータでも、その機能を備える製品が増えており、その機能を活用する場面も多くなっています。

静的フィルタリングの限界」 ← 前項 | 次項 → 「動的フィルタリング(その2)



スポンサードリンク


<ネットワーク資格の練習問題に挑戦>
CCNA練習問題に挑戦!(650問)
Network+練習問題に挑戦!(393問)
テクニカルエンジニア(ネットワーク)試験

Copyright(c)2006- @network Cisco・アライド実機で学ぶ All rights reserved.