YAMAHAルータで学ぶネットワーク構築術 > 動的フィルタリング(その3)
当サイト概要学習環境の準備プライバシーポリシーリンクについてリンクの申込お問い合せ
◆スポンサードリンク

◆Amazon
◆動的フィルタリング(その3)
◇スポンサードリンク

◆動的フィルタリング(その3)

 「動的フィルタリング(その2)」では、動的にフィルタリングテーブルが更新されてゆく様子を説明してゆきましたが、ここでは、さらに厳密に戻りのパケットを指定するステートフルインスペクションという手法があります。

この手法は、TCPヘッダの中もをもう少し詳しくチェックします。

TCPヘッダは、次のように構成されています。

0 15 16 31
送信元ポート番号(16ビット) 宛先ポート番号(16ビット)
シーケンス番号(32ビット)
確認応答番号(32ビット)
ヘッダ長
(4ビット)
予約済み
(6ビット)
コードビット(各1ビット) ウィンドウサイズ
(16ビット)
U
R
G
A
C
K
P
S
H
R
S
T
S
Y
N
F
I
N
チェックサム(16ビット) 緊急ポインタ(16ビット)
(オプション)
データ
←―― 32ビット ――→

 静的フィルタリングの説明のところで、TCPの通信では、コードビット部の「ACK」を見て、通過させるか遮断するかの判断を行うことができると説明してきました。

ステートフルインスペクションでは、さらにシーケンス番号を確認します。

 このシーケンス番号とは、受け取ったパケットを元通りに組み立てるために必要な番号です。パケットを送った順番通りに相手に届かないことがあるため、TCPでは、この番号を利用して並び替えを行っています。

 ステートフルインスペクションを実装するファイアウォールでは、通過するパケットのシーケンス番号を見て、次に戻ってくるパケットのシーケンス番号を予測して、予測した番号と異なる値のパケットを受信したら破棄するように動作します。

 ステートフルインスペクション機能を実装するファイアウォールでは、このシーケンス番号を確認するだけのものから、パケット内のデータ部分まで確認するものまで様々な製品があります。

動的フィルタリング(その2)」 ← 前項 | 次項 → 「フィルタリングに必要な情報を把握する



Copyright(c)2012〜 YAMAHAルータで学ぶネットワーク構築術 All rights reserved.