気ままなタンス*プログラミングなどのノートブック

プログラミングやRPGツクール、DTM、VOCALOIDについてのんびり書きます。

【SC勉強】フィルタリングの観点からみたファイアウォール【自分用なので、他の人は参考にしないほうがいい】

スタティックパケットフィルタリング


 ペイロードは見ない。IPアドレス、ポート番号で判断。
 IPスプーフィング等で、偽装したパケットは防げない。
  →外部から来たパケットであるのに、送信元IPが内部等。
 FTPはパッシブモードじゃなければ危ない。
 パッシブモード(クライアントからコネクション)

アプリケーションゲートウェイ


 IPアドレス、ポート番号、ペイロード など様々。
 特徴的なのは、あるプロトコルに用意されているコマンドの制限も可能なこと。
プロトコルそれぞれで、プロキシプログラム的なものが必要。
 →FTPであれば、PUTは許可など。

ダイナミックパケットフィルタリング


 (ステートフルインスペクション)
 スタティックパケットフィルタリングと基本は同じだが、
 パケット偽装の対策は完璧。
 基本的なルール(ポート番号等)は先に登録しておく。
 通信の接続があった時点で、ACLに動的にルーティングルールを登録。
 通信が終了したら、登録したルールは削除される。

サーキットゲートウェイ


 →アプリケーションゲートウェイのトランスポート層バージョンみたいなもの。