 |
| |
◆動的フィルタリング(その2)
※動作確認は、YAMAHA RTX1000ルータで確認しています。コマンド、出力結果、動作は、機種、ファームウェアのバージョンで異なる場合があります。
資格取得が就職、転職、派遣に有利なのは確かですが、「資格=即戦力」とは言えません。実機を操作して資格取得と同時に就職・転職・派遣後に求められるエンジニア(仕事・ジョブ・ワークの達人)としての即戦力を養いましょう。
◆動的フィルタリング(その2)
ここでは、静的フィルタリングと動的フィルタリングの違いについて説明してゆきます。
例えば、LAN側のPCとWebサーバとの間にフィルタリングを行うファイアウォールを置く場合のフィルタリングテーブルの内容を静的フィルタリングと動的フィルタリングの場合、どのように定義されるのかを見てゆきます。
ファイアウォールの内側をPCが存在するセグメントし、外側をWebサーバが存在するセグメントとし、「内側」と「外側」という言葉を使って説明してゆきます。
◆静的フィルタリングの場合
Webサーバにアクセスするパケットだけ通すようにパケットの行きと戻りの条件をフィルタリングテーブルに登録します。
フィルタリングテーブルの内容は、次の通りです。
●フィルタリングテーブル
| 番号 |
向き |
プロトコル |
送信元
IPアドレス |
宛先
IPアドレス |
送信元
ポート番号 |
宛先
ポート番号 |
処理 |
| @ |
→(内→外) |
TCP |
192.168.1.* |
*.*.*.* |
* |
80 |
通過 |
| A |
←(外→内) |
TCP |
* |
192.168.1.* |
80 |
* |
通過 |
| B |
* |
* |
* |
* |
* |
* |
遮断 |
どの内部のPCが、どの外部のWebサーバと接続するのかは、事前に分かりません。
そのため、条件Aでは、どの内部PCが、どの外部のWebサーバと通信するのか分からないため、送信元のWebサーバのIPアドレスを「*.*.*.*」とし、宛先IPアドレスを「192.168.1.*」とし、内部のPC全てを宛先として指定することとなります。
また、宛先ポート番号も内部PCがどのポート番号を使って通信するのかが、予測できないため、全てのポートポート番号(1024以上のポート番号)を指定しておく必要があります。
このように、静的フィルタリングでは、かなり広い範囲を指定して、ファイアウォールに穴を開けておかなければならないので、想定外のパケットを通過させてしまうリスクが高くなってしまいます。
◆動的フィルタリングの場合
動的フィルタリングは、基本的な仕組みは、静的フィルタリングと同じです。フィルタリングテーブルに定義された条件に従って、パケットを通過させるのか、遮断させるのかを判断しています。
それでは、どこが静的フィルタリングと違うのかですが、動的フィルタリングの場合は、フィルタリングの条件が動的に変化してゆくところが違います。
動的フィルタリングでは、必要に応じて、フィルタリングテーブルにパケットを通過させるための条件が追加されたり、必要でなくなれば削除されます。
それでは、フィルタリングテーブルが、どのように変化してゆくのかを見てゆきます。
1.通信開始前のフィルタリングテーブル
通信を開始する前には、事前に、内部からのWebアクセスだけを通過させる条件をフィルタリングテーブルに定義しておきます。
●フィルタリングテーブル
| 番号 |
向き |
プロトコル |
送信元
IPアドレス |
宛先
IPアドレス |
送信元
ポート番号 |
宛先
ポート番号 |
処理 |
| @ |
→(内→外) |
TCP |
192.168.1.* |
*.*.*.* |
* |
80 |
通過 |
| A |
* |
* |
* |
* |
* |
* |
遮断 |
この時、外側から内側への穴は、まだなく、まだ閉じた状態です。
2.通信開始時のフィルタリングテーブル
内部のPCがWebサーバへの通信を開始すると、ファイアウォールが、Webサーバへのアクセスを検知します。これは、事前に定義しておいた内部のPCからWebサーバへの通信を通過させる条件に一致するためです。この条件が、トリガとなり、戻りのパケットのために条件がフィルタリングテーブルに追加されます。
●フィルタリングテーブル
| 番号 |
向き |
プロトコル |
送信元
IPアドレス |
宛先
IPアドレス |
送信元
ポート番号 |
宛先
ポート番号 |
処理 |
| @ |
→(内→外) |
TCP |
192.168.1.* |
*.*.*.* |
* |
80 |
通過 |
| 追加⇒A |
←(外→内) |
TCP |
10.0.0.1 |
192.168.1.1 |
80 |
1024 |
通過 |
| B |
* |
* |
* |
* |
* |
* |
遮断 |
この時、注目して欲しいのは、追加される条件です。動的フィルタリングによって作られる条件の方が、静的フィルタリングで定義する条件よりも厳密な条件が設定されるということです。
送信元のIPアドレスが、「10.0.0.1」、宛先IPアドレスが、「192.168.1.1」、宛先ポート番号が「1024」となっており、静的フィルタリングの条件よりも厳密な条件になっています。
このように、動的フィルタリングでは、条件を動的に作成するため、ファイアウォールに開ける穴がピンポイントで小さくなるので、想定外のパケットを通過させてしまうリスクが低くなります。
3.通信時のフィルタリングテーブル
Webサーバからの通信は、追加された条件Aに一致するため、ファイアウォールを通過します。
●フィルタリングテーブル
| 番号 |
向き |
プロトコル |
送信元
IPアドレス |
宛先
IPアドレス |
送信元
ポート番号 |
宛先
ポート番号 |
処理 |
| @ |
→(内→外) |
TCP |
192.168.1.* |
*.*.*.* |
* |
80 |
通過 |
| A |
←(外→内) |
TCP |
10.0.0.1 |
192.168.1.1 |
80 |
1024 |
通過 |
| B |
* |
* |
* |
* |
* |
* |
遮断 |
4.通信終了時
Webサーバからの通信がなくなると条件Aを削除して、外側のWebサーバから内側のPCへ穴を閉じます。
●フィルタリングテーブル
| 番号 |
向き |
プロトコル |
送信元
IPアドレス |
宛先
IPアドレス |
送信元
ポート番号 |
宛先
ポート番号 |
処理 |
| @ |
→(内→外) |
TCP |
192.168.1.* |
*.*.*.* |
* |
80 |
通過 |
削除A |
←(外→内) |
TCP |
10.0.0.1 |
192.168.1.1 |
80 |
1024 |
通過 |
| B |
* |
* |
* |
* |
* |
* |
遮断 |
このように、動的フィルタリングでは、ファイアウォールに開ける穴がピンポイントで小さくて済み、、必要に応じで穴を開けたり閉じたりするので、想定外のパケットを通過させてしまうリスクが低くなります。
ここまでで、動的フィルタリングのメリットを挙げて説明してきましたが、デメリットもあります。
ピンポイントでパケットを通す穴を動的に開けてゆくため、通信の種類や内部の端末が多くなると動的に追加される条件が多くなりフィルタリングテーブルが大きくなってしまいます。そのため、フィルタリングテーブルの管理や条件のチェックに負荷がかかります。
「動的フィルタリング(その1)」 ← 前項 | 次項 → 「動的フィルタリング(その3)」
<ネットワーク資格の練習問題に挑戦>
●CCNA練習問題に挑戦!(650問)
●Network+練習問題に挑戦!(393問)
●テクニカルエンジニア(ネットワーク)試験
| ◆Cisco実機で学ぶ(CCNAスイッチ編) |
 |
|
<関連メニュー>
●CCNA実機で学ぶ
●CCNP実機で学ぶ
●CCENT(ICND1)実機で学ぶ
●ICND2実機で学ぶ
●SDMで設定する(Cisco実機で学ぶ)
●CCENT・CCNA無線実機で学ぶ
●アライドテレシス実機で学ぶ
●YAMAHAルータ実機で学ぶ
●TCP/IP入門・無料ネットワークツール
●PLCでホームネットワーク構築
|
|
|
