藤田将義

ファイアウォール
06A1056
藤田将義
今回の発表内容

ファイアウォールの技術について
パケットフィルタリング
プロキシサービス
ネットワークアドレス変換
パケットフィルタリング
インターネット
サイトのセキュリティポリシーに
応じてパケットを通すか否かを
決める
スクリーニングルータ
内部ネットワーク
パケットフィルタリング

パケットに含まれる主な情報
発信元IPアドレス
送信元IPアドレス
プロトコル種別(TCP,UDP,ICMP等)
TCPやUDPの発信元ポート
TCPやUDPの送信元ポート
ICMPのメッセージタイプ
パケットのサイズ
パケットフィルタリングの利点・欠点
利点
 1台のスクリーニングルータでネットワーク全体を守る
 単純なパケットフィルタリングは効率が極めて高い
欠点
 既存のフィルタリングツールは完璧ではない
 パケットフィルタリングはルータの性能を下げる
 実施不能なポリシーもある
プロキシサービス
実際のサーバ
インターネット
外部ホスト
プロキシ
サーバ
デュアル
ホーム
ホスト
ファイアウォール
内部インターネット
プロキシクライアント
内部ホスト
プロキシの利点・欠点
利点
 ログの保存に向いている
 キャッシュが実現できる
 高度なフィルタ機能を提供する
 ユーザレベルの認証を実施できる
 IP実装の弱点や欠点を暗黙的に防御する
欠点
 未対応サービスのサポートに時間がかかる
 サービス毎に異なるサーバを必要とする場合がある
 クライアント・アプリケーション・手続きの変更を必要とする
ネットワークアドレス変換
10.42.6.9
192.123.2.5
アドレス
変換
システム
クライアント1
10.42.7.1
192.123.2.19
クライアント2
内部
外部
ネットワークアドレス変換の利点・欠点
利点
 外向きの接続を制御する
 内向きの通信を制限する
 内部ネットワークの構造を隠蔽する
欠点
 動的割当に必要な状態情報が入手できないことがある
 内包されたIPアドレスが苦手
 暗号と認証のシステムを防げる
 アドレスの動的割当とログ機能は相性が悪い
 ポートの動的割当はパケットフィルタと相性が悪い
参考資料

ファイアウォール構築 理論と実践
Elizabeth D.Zwicky, Simon Cooper,
D.Brent Chapman 著
歌代 和正 監訳
齋藤 衛, 永尾 禎啓, 桃井 康成 訳
ご静聴ありがとうございました