ファイアウォールには静的フィルタリングと動的フィルタリングがあります。静的・動的ルーティングと同じようなものです。静的フィルタリングは、ポリシーに書いた通りに動作します。よって、戻りのパケットも許可したいのであれば、そのポリシーを記載する必要があります。一方、動的フィルタリングは、戻りのパケットは自動で許可されます。戻りのパケットのポリシーが自動で(動的に)作成されるからです。そして、通信が終了したら、このポリシーは自動で削除されます。
多くのファイアウォール製品では、動的フィルタリングを採用しています。また、動的フィルタリングは、ステートフルインスペクションと呼ばれることもあります。

過去問(H24SC秋午前2問6)では、「ファイアウォールにおけるダイナミックパケットフィルタリングの特徴」として、「戻りのパケットに関しては,過去に通過したリクエストパケットに対応したものだけを通過させることができる」とある。
「社内LAN上のクライアントPCから、TCPを使ったインターネット上のWebサイト参照に関しては、フィルタリングテーブルが表のように設定されている。クライアントPCから図1のWebサーバAを参照した際の応答のパケットを通過させるために、例えばクライアントPC(192.168.10.5)からフィルタリングテーブルの行番号10によって許可されるパケットを送信すると、動的パケットフィルタリング機能では行番号10と行番号20の間に行番号15の行を挿入する。行番号15の行は、TCPセッションの終了パケット受信後に削除する。」


表 フィルタリングテーブル(抜粋)
〔番号〕〔向き〕〔送信元IPアドレス〕〔送信先IPアドレス〕〔プロトコル〕〔送信元ポート番号〕〔送信先ポート番号〕〔処理〕
〔10〕〔OUT〕〔C〕〔anywhere〕〔TCP〕〔any〕〔80〕〔許可〕
〔20〕〔OUT/IN〕〔anywhere〕〔anywhere〕〔TCP〕〔80〕〔any〕〔遮断〕

では、ここで問題。
行番号15のフィルタリングテーブルを書け。但し、WebサーバのIPアドレスは、210.2yy.1yy.100とする。(H21年春AP問9より)
パケットフィルタリングには、静的と動的の2種類がある。Cisco ルータでの設定例は以下であるが、通信は行きと帰りがあり、両方の設定を考えなければいけない。
※Ciscoルータの場合、デフォルトでは全ての通信を許可するため、行きを許可すれば、戻りは自動で通過する。

正解は以下です。
〔15〕〔IN〕〔210.2yy.1yy.100〕〔220.1xx.2xx.4〕〔TCP〕〔80〕〔1024〕〔許可〕

一般的には、ファイアウォールでは動的フィルタリングで、ルータでパケットフィルタリングを書くときは、静的フィルタリングになります。
ネットワークスペシャリストを目指す女性SEあれ? 

毎回戻りのルールを書くのって面倒ですね
たしかにそう。でも、それほど面倒なことにはならないよ。
少し詳しく説明します。ファイアウォールとルータは用途が少し違います。ファイアウォールは、守るための装置で、パケットは原則拒否し、許可するものだけ通します。ルータはパケットを転送するための装置で、パケットは原則許可し、拒否するものだけ禁止するのが一般的です。よって、ルータでフィルタリングをする場合は、拒否するルールだけを書くことが多いのです。拒否する場合は、行きのパケットを拒否すれば十分です。行きのパケットが無ければ、もちろん戻りのパケットも無いからです。
2

スポンサードリンク