第15回 FWにおけるパケットフィルタリング(その1)

photo-1474625342403-1b8a2c0f7215

私が新人の時、FWとルータのNW機器としての違いがよく分かりませんでした。
両者とも、パケットの転送やACLを設定してパケットフィルタリングをするので、どちらも同じではないかと思っていました。
それなのに、なぜ1つの環境にFWとルータを同時に導入するのか疑問に思っておりました。

今回はFWとルータの違いについて紹介していきたいと思います。
まず、FWとルータの大きな違いは以下の3点が挙げられます。

  • ダイナミックパケットフィルタリング
  • ステートフルインスペクション
  • アプリケーションゲートウェイ

勿論、上記の機能を実装しているルータもありますが、FWとルータの違いを利用した、NW設計としての一般的な用途として紹介します。
上記の3つの機能を紹介する前に、まずはNW設計として必要不可欠なパケットフィルタリングについて紹介させて頂きます。

パケットフィルタリングは、パケットのヘッダに書かれている宛先や制御情報を条件にルールを設定し、不要なパケットを遮断する役割があります。(図1)

下図は、パケットフィルタリングによってインタネットにアクセスできるLAN内のユーザとインターネットにアクセス出来ないLAN内のユーザを図示したものです。

1

パケットフィルタを構成する具体的な要素として主に「送信元及び宛先のIPアドレス」「通信の方向」「プロトコル」「ポート番号」の4つからなります。
この4つの要素を管理者が設定することにより、通信の可否が決定されます。

次回は、TCP通信でのパケットフィルタリングと静的フィルタリングのデメリットについて紹介します。

仮想化セキュリティの決定版 CS-TWiSt

Page Top

Copyright © 2017 (株)テイルウィンドシステム All rights Reserved.