YAMAHAルータで学ぶネットワーク構築術 > 動的フィルタリングの動作(その1)
当サイト概要学習環境の準備プライバシーポリシーリンクについてリンクの申込お問い合せ
◆スポンサードリンク

◆Amazon
◆動的フィルタリングの動作(その1)
◇スポンサードリンク

◆動的フィルタリングの動作(その1)

ここでは、動的フィルタの動作について説明してゆきます。

 静的フィルタは、行きと戻りの方向で、フィルタを書いておく必要があり、パケットが通るドアを常に開けておく必要がありました。

 動的フィルタは、行きの方向のみ書いておけば、戻りのパケットは自動的に通るようになります。

 パケットが通過するドアは、必要がない時は、閉じるようになっているので、静的フィルタリングと比べて外部からの攻撃を受けるリスクが低くなります。

 動的フィルタでは、コネクションの最初のパケットがドアを開けるトリガとなり、関連するコネクションの通信を通過させる動的フィルタが自動的に追加するようになっています。


◆コネクションの内容を把握する

 動的フィルタを定義するには、ドアを開けるためのトリガである最初のパケットがどんなパケットであるか、また、その向きを理解しておくことが重要になってきます。

例えば、Telnetのコネクションについて、見てゆきます。


 上図の場合、トリガとなるパケットは、宛先IPアドレスが端末BのIPアドレス、宛先ポート番号が23番、パケットの向きは「端末A→端末B」の方向となります。

パケットの向きは、端末Aから端末Bに接続要求を行うので「端末A→端末B」の方向となります。

 しかし、アプリケーションによっては、複数のコネクションを使って通信を行うものもあります。例えば、FTPは、制御用のコネクションとデータ用のコネクションの2つを使って通信を行っています。


 動的フィルタを定義するには、トリガとなるパケットを把握する必要があります。アプリケーションによっては、複数のコネクションを扱ったり、ポート番号が変化したり、アプリケーション固有の振る舞いを行うものもあります。

このようなアプリケーションの場合、動的フィルタを定義してゆくのは、難しい作業となります。

 そこで、固有の振る舞いを行うアプリケーションのために、複雑な定義を行わなくて済むように事前に登録された処理を行う仕組みが用意されています。

 登録されたアプリケーションには、FTP、TFTP、SMTP、POP3、HTTP、HTTPS、TELNET、NetMeetingなどがあります。

 HTTPやTELNETなど特別な処理を必要としないアプリケーションも含まれますが、一般的によく利用されるアプリケーションには、簡単な定義で動的フィルタリングが定義できる手段が用意されています。

 また、YAMAHAルータでは、アプリケーションではありませんが、アプリケーション名の代わりにTCPやUDPを指定できるようになっています。

 TCP、UDPは、全般的なコネクションであり、アプリケーション固有の動作は行いませんが、簡単な定義だけで動的フィルタリングを利用できるようになっています。

固有の動作(TFTPの通信)」 ← 前項 | 次項 → 「動的フィルタリングの動作(その2)



Copyright(c)2012〜 YAMAHAルータで学ぶネットワーク構築術 All rights reserved.