基礎から学ぶ ネットワーク塾 > ネットワーク入門 > 動的フィルタリング(その3)

 ネットワーク書籍
基礎から学ぶ ネットワーク塾
◆動的フィルタリング(その3)

※ネットワークの学習は、TCP/IPを学ぶことから始めることをオススメします。TCP/IPは、今日のLANやインターネットを支えている重要な技術になっています。ここでは、これからネットワークを学ぼうとする方に必要なネットワークの用語やテクノロジーの紹介、そして、TCP/IPプロトコルの基礎知識を中心に説明してゆきます。


◆動的フィルタリング(その3)

動的フィルタリング(その2)」では、動的にフィルタリングテーブルが更新されてゆく様子を説明してゆきましたが、ここでは、さらに厳密に戻りのパケットを指定するステートフルインスペクションという手法があります。

この手法は、TCPヘッダの中もをもう少し詳しくチェックします。

TCPヘッダは、次のように構成されています。

0 15 16 31
送信元ポート番号(16ビット) 宛先ポート番号(16ビット)
シーケンス番号(32ビット)
確認応答番号(32ビット)
ヘッダ長
(4ビット)
予約済み
(6ビット)
コードビット(各1ビット) ウィンドウサイズ
(16ビット)
U
R
G
A
C
K
P
S
H
R
S
T
S
Y
N
F
I
N
チェックサム(16ビット) 緊急ポインタ(16ビット)
(オプション)
データ
←―― 32ビット ――→

 静的フィルタリングの説明のところで、TCPの通信では、コードビット部の「ACK」を見て、通過させるか遮断するかの判断を行うことができると説明してきました。

ステートフルインスペクションでは、さらにシーケンス番号を確認します。

 このシーケンス番号とは、受け取ったパケットを元通りに組み立てるために必要な番号です。パケットを送った順番通りに相手に届かないことがあるため、TCPでは、この番号を利用して並び替えを行っています。

 ステートフルインスペクションを実装するファイアウォールでは、通過するパケットのシーケンス番号を見て、次に戻ってくるパケットのシーケンス番号を予測して、予測した番号と異なる値のパケットを受信したら破棄するように動作します。

 ステートフルインスペクション機能を実装するファイアウォールでは、このシーケンス番号を確認するだけのものから、パケット内のデータ部分まで確認するものまで様々な製品があります。

動的フィルタリング(その2)」 ← 前項 | 次項 → 「フィルタリングに必要な情報




Copyright(c)2006- 基礎から学ぶ ネットワーク塾 All rights reserved.