ファイアウォール 06A1056 藤田将義 今回の発表内容 ファイアウォールの技術について パケットフィルタリング プロキシサービス ネットワークアドレス変換 パケットフィルタリング インターネット サイトのセキュリティポリシーに 応じてパケットを通すか否かを 決める スクリーニングルータ 内部ネットワーク パケットフィルタリング パケットに含まれる主な情報 発信元IPアドレス 送信元IPアドレス プロトコル種別(TCP,UDP,ICMP等) TCPやUDPの発信元ポート TCPやUDPの送信元ポート ICMPのメッセージタイプ パケットのサイズ パケットフィルタリングの利点・欠点 利点 1台のスクリーニングルータでネットワーク全体を守る 単純なパケットフィルタリングは効率が極めて高い 欠点 既存のフィルタリングツールは完璧ではない パケットフィルタリングはルータの性能を下げる 実施不能なポリシーもある プロキシサービス 実際のサーバ インターネット 外部ホスト プロキシ サーバ デュアル ホーム ホスト ファイアウォール 内部インターネット プロキシクライアント 内部ホスト プロキシの利点・欠点 利点 ログの保存に向いている キャッシュが実現できる 高度なフィルタ機能を提供する ユーザレベルの認証を実施できる IP実装の弱点や欠点を暗黙的に防御する 欠点 未対応サービスのサポートに時間がかかる サービス毎に異なるサーバを必要とする場合がある クライアント・アプリケーション・手続きの変更を必要とする ネットワークアドレス変換 10.42.6.9 192.123.2.5 アドレス 変換 システム クライアント1 10.42.7.1 192.123.2.19 クライアント2 内部 外部 ネットワークアドレス変換の利点・欠点 利点 外向きの接続を制御する 内向きの通信を制限する 内部ネットワークの構造を隠蔽する 欠点 動的割当に必要な状態情報が入手できないことがある 内包されたIPアドレスが苦手 暗号と認証のシステムを防げる アドレスの動的割当とログ機能は相性が悪い ポートの動的割当はパケットフィルタと相性が悪い 参考資料 ファイアウォール構築 理論と実践 Elizabeth D.Zwicky, Simon Cooper, D.Brent Chapman 著 歌代 和正 監訳 齋藤 衛, 永尾 禎啓, 桃井 康成 訳 ご静聴ありがとうございました
© Copyright 2024 ExpyDoc
