このページの本文へ

初心者歓迎!ネットワークセキュリティ入門 第1回

ネットワークの脅威と対策を一から学ぼう

不正アクセスを防ぐファイアウォールの仕組み

2009年08月12日 09時00分更新

文● 大谷イビサ/TECH.ASCII.jp

  • この記事をはてなブックマークに追加
  • 本文印刷

パケットフィルタリングの限界

 パケットフィルタリングのメリットは、仕組みがシンプルで、処理が高速なことだ。このため、専用機はもちろん、OSなどにも標準で搭載することが可能になった。

 弱点は、条件の設定が静的であるため、アプリケーションによっては通信のコントロールがうまくできないことだ。典型的な例では、LANからインターネット側のFTPサーバに対して行なう通信の制御が挙げられる(図5)。

図5 FTPのコネクション確立とファイアウォールによるパケット破棄

 FTPでは、クライアントからFTPサーバにまずコントロールコネクションという制御コマンド用のコネクションを構築する。これはサーバの21番ポートに対してTCP接続を行なうことで実現する。問題は、実際のデータを送受信するデータコネクションの構築をFTPサーバ側からLANのクライアントに対して行なうという点だ。こちらは20番ポートを用いて行なわれる。

 しかし、通常のパケットフィルタリングでは、ペアで行なわれるFTPのこうしたコネクションを別々に扱う。つまり、データコネクションの構築はLANからのリクエストの応答ではないため、通常のパケットフィルタリングでは、TCPのフラグにACKがないことから攻撃の疑いがあるとして、パケットを破棄してしまうのだ。

 この結果、よりアプリケーションの挙動を詳細に捉えられるファイアウォールが求められるようになった。そこで生まれたのが、アプリケーションゲートウェイやダイナミックパケットフィルタリング、ステートフルパケットインスペクションなどのアクセス制御方式である。

(次ページ、「通信を識別するパケットフィルタリング」に続く)


 

カテゴリートップへ

この連載の記事
ピックアップ