@network Cisco・アライド実機で学ぶ > YAHAMAルータ実機で学ぶ > 動的フィルタリング(その2)

 Rakuten
@network Cisco・アライド実機で学ぶ
◆動的フィルタリング(その2)

※動作確認は、YAMAHA RTX1000ルータで確認しています。コマンド、出力結果、動作は、機種、ファームウェアのバージョンで異なる場合があります。
 資格取得が就職、転職、派遣に有利なのは確かですが、「資格=即戦力」とは言えません。実機を操作して資格取得と同時に就職・転職・派遣後に求められるエンジニア(仕事・ジョブ・ワークの達人)としての即戦力を養いましょう。



◆動的フィルタリング(その2)

ここでは、静的フィルタリングと動的フィルタリングの違いについて説明してゆきます。

 例えば、LAN側のPCとWebサーバとの間にフィルタリングを行うファイアウォールを置く場合のフィルタリングテーブルの内容を静的フィルタリングと動的フィルタリングの場合、どのように定義されるのかを見てゆきます。

 ファイアウォールの内側をPCが存在するセグメントし、外側をWebサーバが存在するセグメントとし、「内側」と「外側」という言葉を使って説明してゆきます。


◆静的フィルタリングの場合

 Webサーバにアクセスするパケットだけ通すようにパケットの行きと戻りの条件をフィルタリングテーブルに登録します。


フィルタリングテーブルの内容は、次の通りです。

●フィルタリングテーブル
番号 向き プロトコル 送信元
IPアドレス
宛先
IPアドレス
送信元
ポート番号
宛先
ポート番号
処理
@ →(内→外) TCP 192.168.1.* *.*.*.* * 80 通過
A ←(外→内) TCP * 192.168.1.* 80 * 通過
B * * * * * * 遮断

どの内部のPCが、どの外部のWebサーバと接続するのかは、事前に分かりません。

 そのため、条件Aでは、どの内部PCが、どの外部のWebサーバと通信するのか分からないため、送信元のWebサーバのIPアドレスを「*.*.*.*」とし、宛先IPアドレスを「192.168.1.*」とし、内部のPC全てを宛先として指定することとなります。

 また、宛先ポート番号も内部PCがどのポート番号を使って通信するのかが、予測できないため、全てのポートポート番号(1024以上のポート番号)を指定しておく必要があります。

 このように、静的フィルタリングでは、かなり広い範囲を指定して、ファイアウォールに穴を開けておかなければならないので、想定外のパケットを通過させてしまうリスクが高くなってしまいます。


◆動的フィルタリングの場合

 動的フィルタリングは、基本的な仕組みは、静的フィルタリングと同じです。フィルタリングテーブルに定義された条件に従って、パケットを通過させるのか、遮断させるのかを判断しています。

 それでは、どこが静的フィルタリングと違うのかですが、動的フィルタリングの場合は、フィルタリングの条件が動的に変化してゆくところが違います。

 動的フィルタリングでは、必要に応じて、フィルタリングテーブルにパケットを通過させるための条件が追加されたり、必要でなくなれば削除されます。

それでは、フィルタリングテーブルが、どのように変化してゆくのかを見てゆきます。

1.通信開始前のフィルタリングテーブル

 通信を開始する前には、事前に、内部からのWebアクセスだけを通過させる条件をフィルタリングテーブルに定義しておきます。


●フィルタリングテーブル
番号 向き プロトコル 送信元
IPアドレス
宛先
IPアドレス
送信元
ポート番号
宛先
ポート番号
処理
@ →(内→外) TCP 192.168.1.* *.*.*.* * 80 通過
A * * * * * * 遮断

この時、外側から内側への穴は、まだなく、まだ閉じた状態です。


2.通信開始時のフィルタリングテーブル

 内部のPCがWebサーバへの通信を開始すると、ファイアウォールが、Webサーバへのアクセスを検知します。これは、事前に定義しておいた内部のPCからWebサーバへの通信を通過させる条件に一致するためです。この条件が、トリガとなり、戻りのパケットのために条件がフィルタリングテーブルに追加されます。


●フィルタリングテーブル
番号 向き プロトコル 送信元
IPアドレス
宛先
IPアドレス
送信元
ポート番号
宛先
ポート番号
処理
@ →(内→外) TCP 192.168.1.* *.*.*.* * 80 通過
追加⇒A ←(外→内) TCP 10.0.0.1 192.168.1.1 80 1024 通過
B * * * * * * 遮断

 この時、注目して欲しいのは、追加される条件です。動的フィルタリングによって作られる条件の方が、静的フィルタリングで定義する条件よりも厳密な条件が設定されるということです。

 送信元のIPアドレスが、「10.0.0.1」、宛先IPアドレスが、「192.168.1.1」、宛先ポート番号が「1024」となっており、静的フィルタリングの条件よりも厳密な条件になっています。

 このように、動的フィルタリングでは、条件を動的に作成するため、ファイアウォールに開ける穴がピンポイントで小さくなるので、想定外のパケットを通過させてしまうリスクが低くなります。


3.通信時のフィルタリングテーブル

Webサーバからの通信は、追加された条件Aに一致するため、ファイアウォールを通過します。


●フィルタリングテーブル
番号 向き プロトコル 送信元
IPアドレス
宛先
IPアドレス
送信元
ポート番号
宛先
ポート番号
処理
@ →(内→外) TCP 192.168.1.* *.*.*.* * 80 通過
A ←(外→内) TCP 10.0.0.1 192.168.1.1 80 1024 通過
B * * * * * * 遮断


4.通信終了時

Webサーバからの通信がなくなると条件Aを削除して、外側のWebサーバから内側のPCへ穴を閉じます。


●フィルタリングテーブル
番号 向き プロトコル 送信元
IPアドレス
宛先
IPアドレス
送信元
ポート番号
宛先
ポート番号
処理
@ →(内→外) TCP 192.168.1.* *.*.*.* * 80 通過
削除A ←(外→内) TCP 10.0.0.1 192.168.1.1 80 1024 通過
B * * * * * * 遮断

 このように、動的フィルタリングでは、ファイアウォールに開ける穴がピンポイントで小さくて済み、、必要に応じで穴を開けたり閉じたりするので、想定外のパケットを通過させてしまうリスクが低くなります。

ここまでで、動的フィルタリングのメリットを挙げて説明してきましたが、デメリットもあります。

 ピンポイントでパケットを通す穴を動的に開けてゆくため、通信の種類や内部の端末が多くなると動的に追加される条件が多くなりフィルタリングテーブルが大きくなってしまいます。そのため、フィルタリングテーブルの管理や条件のチェックに負荷がかかります。

動的フィルタリング(その1)」 ← 前項 | 次項 → 「動的フィルタリング(その3)





<ネットワーク資格の練習問題に挑戦>
CCNA練習問題に挑戦!(650問)
Network+練習問題に挑戦!(393問)
テクニカルエンジニア(ネットワーク)試験
◆Cisco実機で学ぶ(CCNAルータ編)

ルータの概要・基本操作・設定1 (17項目)
ルータの概要・基本操作・設定3 (22項目)
IGRP・EIGRPの設定 (18項目)
アクセスリスト・ACLの設定 (14項目)
NAT・DHCPの設定 (8項目)
ルータの概要・基本操作・設定2 (17項目)
RIPv1・RIPv2の設定 (14項目)
OSPFの設定・デフォルトルートの伝播(16項目)
WANの設定 (10項目)
ARP・RARP・Proxy ARP(12項目)
◆Cisco実機で学ぶ(CCNAスイッチ編)

スイッチの基本操作・設定 (14項目)
VTP・スパニングツリーの設定 (12項目)
MACアドレスの管理・VLANの設定 (12項目)

◆アライドテレシス実機で学ぶ

基本操作・設定 (11項目)
OSPFの設定 (9項目)
ポリシールーティング・VRRPなど (12項目)
VLAN・マルチホーミング・RIPの設定 (10項目)
STP・ポートトランキングなど (14項目)

<関連メニュー>
CCNA実機で学ぶ
CCNP実機で学ぶ
CCENT(ICND1)実機で学ぶ
ICND2実機で学ぶ
SDMで設定する(Cisco実機で学ぶ)
CCENT・CCNA無線実機で学ぶ
アライドテレシス実機で学ぶ
YAMAHAルータ実機で学ぶ
TCP/IP入門・無料ネットワークツール
PLCでホームネットワーク構築

Copyright(c)2006- @network Cisco・アライド実機で学ぶ All rights reserved.