 |
| |
◆静的フィルタリング(その1)
※動作確認は、YAMAHA RTX1000ルータで確認しています。コマンド、出力結果、動作は、機種、ファームウェアのバージョンで異なる場合があります。
資格取得が就職、転職、派遣に有利なのは確かですが、「資格=即戦力」とは言えません。実機を操作して資格取得と同時に就職・転職・派遣後に求められるエンジニア(仕事・ジョブ・ワークの達人)としての即戦力を養いましょう。
◆静的フィルタリング(その1)
静的フィルタリングでは、以下の情報を基に条件を静的に作成し、その条件に基づいてパケットを「通過」させたり「遮断」します。
・送信元IPアドレス
・宛先IPアドレス
・プロトコルの種類(TCP,UDP,ICMPなど)
・送信元ポート番号
・宛先ポート番号
・パケットが流れる方向
パケットを「通過」させるのか「遮断」するのかを決める条件の集まりをフィルタリングテーブルと呼びます。
例えば、LAN側のPCとWebサーバとの間に静的フィルタリングを行うファイアウォールを置く場合のフィルタリングテーブルの内容を見てゆきます。
Webサーバにアクセスするパケットだけ通すようにパケットの行きと戻りの条件をフィルタリングテーブルに登録します。
●フィルタリングテーブル
| 番号 |
向き |
プロトコル |
送信元
IPアドレス |
宛先
IPアドレス |
送信元
ポート番号 |
宛先
ポート番号 |
処理 |
| @ |
→(内→外) |
TCP |
192.168.1.* |
*.*.*.* |
* |
80 |
通過 |
| A |
←(外→内) |
TCP |
* |
192.168.1.* |
80 |
* |
通過 |
| B |
* |
* |
* |
* |
* |
* |
遮断 |
◆フィルタリングテーブルのルール
フィルタリングテーブルには、次のルールがあります。
・フィルタリングテーブルは、テーブルの上の条件から順に検査され、条件に合致しなければ、次の条件を検査する。
・条件に合致した場合、合致したところで、検査は終了し、その次以降の条件は検査されない。
・フィルタリングテーブル上の「*」は、その項目が取りえる全ての値を意味する。
それでは、番号@からの各条件の詳細を説明してゆきます。
●番号@
Webサーバへは、HTTPプロトコルで行われ、トランスポート層のプロトコルにTCPが用いられます。Webサーバは、一般的にTCPのポート番号80でWebアクセスを待ち受けているので、LAN→Webサーバ方向にフィルタリングを行っています。
番号@の条件では、送信元がLAN側のIPアドレスのPCから、Webサーバ宛てのパケットを通過させるように指定しています。
●番号A
WebサーバからLAN側のPCへの戻りのパケットに対してフィルタリングを行っています。送信元がWebサーバで、LAN側のPC宛てのパケットを通過させるように設定しています。
●番号B
全ての項目に「*」となっています。全ての送信元から全ての宛先までの通信を遮断します。この条件で全ての通信がこの条件に合致することとなり、遮断されます。
番号@、番号Aの条件でLAN側のPCとWebサーバ間の通信を通過させ、Web以外の通信が全て条件Bに合致することとなるため、LAN側のPCとWebサーバ間のHTTPの通信だけがファイアウォールを通過することとなります。
◆フィルタリングの方向とフィルタリング条件
ファイアウォールでは、どの条件をどの方向にどのインタフェースに適用するのかを指示してゆきます。
インタフェースに対して、条件ごとに、外向き(OUT)か、内向き(IN)なのかを個別に設定する製品もありますし、フィルタリンク条件をグループ化して、グループ化したものをインタフェースに外向き(OUT)か、内向き(IN)なのか適用してゆく製品もあります。
「ファイアウォールの種類」 ← 前項 | 次項 → 「静的フィルタリング(その2)」
<ネットワーク資格の練習問題に挑戦>
●CCNA練習問題に挑戦!(650問)
●Network+練習問題に挑戦!(393問)
●テクニカルエンジニア(ネットワーク)試験
| ◆Cisco実機で学ぶ(CCNAスイッチ編) |
 |
|
<関連メニュー>
●CCNA実機で学ぶ
●CCNP実機で学ぶ
●CCENT(ICND1)実機で学ぶ
●ICND2実機で学ぶ
●SDMで設定する(Cisco実機で学ぶ)
●CCENT・CCNA無線実機で学ぶ
●アライドテレシス実機で学ぶ
●YAMAHAルータ実機で学ぶ
●TCP/IP入門・無料ネットワークツール
●PLCでホームネットワーク構築
|
|
|
