<ネスペちゃん01について>
ネスペちゃん01はネットワークの用語やセキュリテ
ィのお話について、「難しい」イメージから「意外と
面白い」に変えるのが目的です。そのため、あえて大
胆なたとえや、表現を使っています。
そんなわけで、結果的に、緻密さを犠牲にする部分が
あります。詳しく知りたい方は、さらに勉強しよう!
ってことで。よろしくお願いします。(にしの)
-------------------------
前回はファイアーウオールの働きについて学んだ。
今日はフィルタリングについて述べてみたい。
それって、ダメなコンテンツとかエッチなのとかを
見せないようにするやつ?
それも一種のそうなんだけど、今回はファイアーウ
オールにおいての通信制御、遮断についてお話しし
たい。遮断といっても、必要な通信は遮断をしては
困るわけで、その見分けかたを。
顔面。
まあ、そういうことになるんだけど。基本的にはフ
ァイアーウオールでは「遮断」が原則で、許可のル
ールを決めます。
1 一定のルールで仕分ける方法(スタティック)
許可するリスト以外は許可しない。
これは素朴でいいんだけど、突然に必要な通信が出
てくるとめんどくさい。
2 内側から通信した人のお返事だけ通す(ダイナミック)
非常にこれも、わかりやすいですけどね。
ただ、対応関係が取れないケースは遮断しちゃうんですよ。
3 通信の記録から判断する(ステートフルインスペクション)
きちんとTCPさんとかが確認応答をしてるっぽい通信を許
可する。っぽければいいんだ・・・になるからね。
4 アプリケーションのやり取りで判断する
(アプリケーションゲートウエイ)
アプリで使ってる通信かどうかを判断して許可する。
まあ、これも本当かどうかは謎だがね。
なるほど、これで悪い人からの通信は完璧に防げる
わけね?
いいや、防げないんですよ。これだけでは完璧には。
偽装されたとしても、「いかにも本物」になりすま
した通信は遮断できない。
不正な通信を防ぐためには、複数の方法を使うべき
なんですね。
(続きます)