H O M E > ネットワークのおべんきょしませんか? Cisco CCNA/CCNP/CCIE、ネットワークスペシャリスト試験の勉強にピッタリ > 2014年5月
(所属カテゴリー:ネットワークセキュリティ---投稿日時:2014年5月30日)
ネットワーク上の通信は、ほとんどの場合で双方向です。何らかのデータを送信すると、そのデータに対する返事が返ってきます。パケットフィルタを行うためには、「通信は双方向」ということを考慮して適切に設定しなければいけません。
通常のパケットフィルタは、受信したパケットのIPアドレスやポート番号などをチェックして、パケットを許可するか拒否します。通常のパケットフィルタを利用していると、リクエストとそのリプレイのそれぞれの方向でどのような通信を許可するかをあらかじめ設定しておかなければいけません。つまり、通常のパケットフィルタでは、通信はリクエストとそのリプライから成り立っているという通信の状態は特に考慮せず、パケット単位でファイアウォールを通過させるかどうかを決めているだけです。
条件を作成する際、サーバ側のアプリケーションのポート番号はウェルノウンポートで決まっています。ところが、クライアント側のアプリケーションのポート番号はダイナミックに決められることがほとんどです。サーバからのレスポンスを通過させるために、ファイアウォールで許可するポート番号の範囲が広くなってしまいます。また、クライアントは複数存在するので、ファイアウォールを通過する通信のIPアドレスはある程度の範囲で指定することになります。許可するパケットのIPアドレスやポート番号を範囲指定しなければいけないということは、不正なパケットがファイアウォールを通過できてしまう危険性が増すことになります。
SPI(Stateful Packet Inspection)の概要の続きを読む