|
| |
◆動的フィルタリング(その3)
※動作確認は、YAMAHA RTX1000ルータで確認しています。コマンド、出力結果、動作は、機種、ファームウェアのバージョンで異なる場合があります。
資格取得が就職、転職、派遣に有利なのは確かですが、「資格=即戦力」とは言えません。実機を操作して資格取得と同時に就職・転職・派遣後に求められるエンジニア(仕事・ジョブ・ワークの達人)としての即戦力を養いましょう。
◆動的フィルタリング(その3)
「動的フィルタリング(その2)」では、動的にフィルタリングテーブルが更新されてゆく様子を説明してゆきましたが、ここでは、さらに厳密に戻りのパケットを指定するステートフルインスペクションという手法があります。
この手法は、TCPヘッダの中もをもう少し詳しくチェックします。
TCPヘッダは、次のように構成されています。
0 |
15 |
16 |
31 |
送信元ポート番号(16ビット) |
宛先ポート番号(16ビット) |
シーケンス番号(32ビット) |
確認応答番号(32ビット) |
ヘッダ長
(4ビット) |
予約済み
(6ビット) |
コードビット(各1ビット) |
ウィンドウサイズ
(16ビット) |
U R G |
A C K |
P S H |
R S T |
S Y N |
F I N |
チェックサム(16ビット) |
緊急ポインタ(16ビット) |
(オプション) |
データ |
|
←―― |
32ビット |
――→ |
静的フィルタリングの説明のところで、TCPの通信では、コードビット部の「ACK」を見て、通過させるか遮断するかの判断を行うことができると説明してきました。
ステートフルインスペクションでは、さらにシーケンス番号を確認します。
このシーケンス番号とは、受け取ったパケットを元通りに組み立てるために必要な番号です。パケットを送った順番通りに相手に届かないことがあるため、TCPでは、この番号を利用して並び替えを行っています。
ステートフルインスペクションを実装するファイアウォールでは、通過するパケットのシーケンス番号を見て、次に戻ってくるパケットのシーケンス番号を予測して、予測した番号と異なる値のパケットを受信したら破棄するように動作します。
ステートフルインスペクション機能を実装するファイアウォールでは、このシーケンス番号を確認するだけのものから、パケット内のデータ部分まで確認するものまで様々な製品があります。
「動的フィルタリング(その2)」 ← 前項 | 次項 → 「フィルタリングに必要な情報を把握する」
<ネットワーク資格の練習問題に挑戦> ●CCNA練習問題に挑戦!(650問)
●Network+練習問題に挑戦!(393問)
●テクニカルエンジニア(ネットワーク)試験
◆Cisco実機で学ぶ(CCNAスイッチ編) |
|
|
<関連メニュー>
●CCNA実機で学ぶ
●CCNP実機で学ぶ
●CCENT(ICND1)実機で学ぶ
●ICND2実機で学ぶ
●SDMで設定する(Cisco実機で学ぶ)
●CCENT・CCNA無線実機で学ぶ
●アライドテレシス実機で学ぶ
●YAMAHAルータ実機で学ぶ
●TCP/IP入門・無料ネットワークツール
●PLCでホームネットワーク構築
|
|
|