パケットフィルタリング
ルーティングがルータの一番大事な機能なんですが、その他にもいろいろと行っています。
そのひとつとして、「パケットフィルタリング」があります。パケットはネットワーク層のPDUでしたね?そのパケットをフィルタ、つまりある条件に当てはまるものは通過させて、それ以外のものについては通過させないという設定を行うことができます。
パケットフィルタリングで、主にセキュリティを高めることができます。また、余計なデータを流さないように設定することによってネットワークのパフォーマンスをあげることもできるようになりますね。
IPアドレスによるフィルタ
基本的なフィルタの条件として、IPアドレスによるものがあります。 たとえば、例として下のような場合を考えます。
コンピュータAはIPアドレスが192.168.1.10で、コンピュータBはIPアドレスが192.168.1.11です。 で、左側のネットワークにサーバがあるとします。
コンピュータBからはこのサーバに通信させたくない!というときは、ルータで「送信元のアドレスが192.168.1.11のデータは拒否する」という風に設定しておくと、コンピュータBからサーバにアクセスすることができなくなります。
また、コンピュータAは通信させたいというときは、ルータで「送信元のアドレスが192.168.1.10のデータは許可する」と設定すれば、コンピュータAからサーバに対してアクセスさせることができます。
さらに細かい設定
IPアドレス単位ではなく、あるネットワークアドレス単位で通過させる/させないという設定もできるし、送信先アドレスも一緒にチェックすることができます。さらには、どういったデータの種類かということを判断して、通過させる/させないも決めることができます。
不正アクセスを防ぐファイヤウォールもこのようなパケットフィルタリングを行っています。(パケットフィルタリングだけじゃないけど)「ファイヤウォール」とよく耳にすることがあると思いますが、ルータをファイヤウォールとして使うこともできるんです。(でも、ルータ=ファイヤウォールというと必ずしもそうではないです。ファイやウォールについてもそのうち取り上げます) たとえば、次のようなネットワークを考えます。
すっごく単純なネットワークなんですが、ルータを通してインターネットとつなげているわけですね。で、内側のネットワークにはWWWサーバとメールサーバがあります。ここには書いていないですけど、その他にもたくさんのコンピュータがつながっていると思ってください。社内LANにつながっているコンピュータということですね。
WWWサーバやメールサーバは外部、つまりインターネットからもアクセスさせる必要があります。でも、その他のコンピュータは外部からアクセスさせる必要はないですね。必要ないというか、そんなことされると大事なファイルが漏洩したりする可能性があるのでダメです。
ここでルータにパケットフィルタリングの設定をするわけです。WWWサーバへは HTTP(Hyper Text Transfer Protocol)というプロトコルを使ってアクセスします。そして、外部からメールサーバへは通常、SMTP(Simple Mail Transfer Protocol)というプロトコルを使ってアクセスしてきます。ですから、外部のネットワークから内部のネットワークへの通信は、HTTPとSMTPのプロトコルのものだけ許可して、あとは全部拒否してしまえば関係のないコンピュータは外部からアクセスされる心配がなくなるわけですね。
いまは会社のLANのお話ですが、これからはブロードバンドネットワーク時代ということで、ADSLや光ファイバ、CATVを使って個人でも24時間常時インターネット接続環境が整ってきていますね。(ちなみに、うちはフレッツISDNです。、もっと速いのがいいなぁ・・・)
そうなると、みなさん個人でもセキュリティについてちゃんと考えないと大変なことになってしまうかもしれません。自分の情報が盗まれたとか、不正アクセスへの踏み台にされてしまったなどなど。下手すると、損害賠償問題にまでなりかねません。
そういったセキュリティについても、そのうちメルマガで紹介していきます。まだまだずいぶん先になるとは思いますが・・・
ま、今回言いたかったことは、ルータでパケットフィルタリングの設定を行うことによって、データの流れをいろいろとコントロールすることができますということですね!
もしかすると、ネットワーク管理者に嫌われちゃったらこっそりとパケットフィルタリングの設定されて、自分だけ通信できなくなっちゃうなんてことにもなりかねません(笑)。ネットワーク管理者とは仲よくしましょう(爆)!で、ネットワーク管理者の方はいたずらしちゃダメですよ!!
