■1.動的パケットフィルタリング機能
ファイアウォールには静的フィルタリングと動的フィルタリングがあります。静的・動的ルーティングと同じようなものです。静的フィルタリングは、ポリシーに書いた通りに動作します。よって、戻りのパケットも許可したいのであれば、そのポリシーを記載する必要があります。一方、動的フィルタリングは、戻りのパケットは自動で許可されます。戻りのパケットのポリシーが自動で(動的に)作成されるからです。そして、通信が終了したら、このポリシーは自動で削除されます。
多くのファイアウォール製品では、動的フィルタリングを採用しています。また、動的フィルタリングは、ステートフルインスペクションと呼ばれることもあります。

過去問(H24SC秋午前2問6)では、「ファイアウォールにおけるダイナミックパケットフィルタリングの特徴」として、「戻りのパケットに関しては,過去に通過したリクエストパケットに対応したものだけを通過させることができる」とある。
「社内LAN上のクライアントPCから、TCPを使ったインターネット上のWebサイト参照に関しては、フィルタリングテーブルが表のように設定されている。クライアントPCから図1のWebサーバAを参照した際の応答のパケットを通過させるために、例えばクライアントPC(192.168.10.5)からフィルタリングテーブルの行番号10によって許可されるパケットを送信すると、動的パケットフィルタリング機能では行番号10と行番号20の間に行番号15の行を挿入する。行番号15の行は、TCPセッションの終了パケット受信後に削除する。」


表 フィルタリングテーブル(抜粋)
〔番号〕〔向き〕〔送信元IPアドレス〕〔送信先IPアドレス〕〔プロトコル〕〔送信元ポート番号〕〔送信先ポート番号〕〔処理〕
〔10〕〔OUT〕〔C〕〔anywhere〕〔TCP〕〔any〕〔80〕〔許可〕
〔20〕〔OUT/IN〕〔anywhere〕〔anywhere〕〔TCP〕〔80〕〔any〕〔遮断〕

では、ここで問題。
行番号15のフィルタリングテーブルを書け。但し、WebサーバのIPアドレスは、210.2yy.1yy.100とする。(H21年春AP問9より)
パケットフィルタリングには、静的と動的の2種類がある。Cisco ルータでの設定例は以下であるが、通信は行きと帰りがあり、両方の設定を考えなければいけない。
※Ciscoルータの場合、デフォルトでは全ての通信を許可するため、行きを許可すれば、戻りは自動で通過する。

正解は以下です。
〔15〕〔IN〕〔210.2yy.1yy.100〕〔220.1xx.2xx.4〕〔TCP〕〔80〕〔1024〕〔許可〕

一般的には、ファイアウォールでは動的フィルタリングで、ルータでパケットフィルタリングを書くときは、静的フィルタリングになります。
ネットワークスペシャリストを目指す女性SEあれ? 

毎回戻りのルールを書くのって面倒ですね
たしかにそう。でも、それほど面倒なことにはならないよ。
少し詳しく説明します。ファイアウォールとルータは用途が少し違います。ファイアウォールは、守るための装置で、パケットは原則拒否し、許可するものだけ通します。ルータはパケットを転送するための装置で、パケットは原則許可し、拒否するものだけ禁止するのが一般的です。よって、ルータでフィルタリングをする場合は、拒否するルールだけを書くことが多いのです。拒否する場合は、行きのパケットを拒否すれば十分です。行きのパケットが無ければ、もちろん戻りのパケットも無いからです。
2
■2.ステートフルインスペクションと動的フィルタリングの違い
まず、ステートフルインスペクション機能について解説します。
ネットワークスペシャリスト試験では、ほとんど問われたことはありませんが、過去問(H21春AP問9)では「パケットの順番を管理するTCPヘッダのシーケンス番号の妥当性を確認して通過させる」とありました。
ステートフルインスペクションに関しては、Check Point社が提唱したと思います。ややベンダ固有の名称でもあるので、今後は問われることはあまりないでしょう。
ただ、多くのファイアウォールで基本的には実装している機能です。なので、言葉と、その仕組みは理解しておきましょう。まずは言葉通り、ステート(状態)をフルに探索(インスペクション)するという意味で考えておきましょう。
ステートフルインスペクション動的フィルタリングの違いは?
両者は明確に分けられるものではなく、一部オーバラップするものである。
文献により両者を分けてるものもあれば、どちらか一方で全てを表しているものもある。
「明確な違いは何か?」「この機能はどっちを指しているのか?」などとあまり神経質に考える必要はない。
しょせんは「ただの言葉」である。
ef6167f8.jpg 


バカボンド(講談社)にて、「天下無双とはただの言葉」と述べられていました。
それと同じかな?
まあ、そんな感じでしょう。
大事なのは言葉が何を意味しているかだ。動的フィルタリングは静的フィルタリングの対としてできた言葉であるし、ステートフルインスペクションとは 状態をフルに探索するという意味だ。
その点をシンプルに考えていただければよい。

スポンサードリンク