パケットフィルタリング型ファイアウォールは、ネットワーク層でパケットのヘッダ情報でアクセス制御を行うファイアウォールです。

前回の勉強内容

ponsuke-tarou.hatenablog.com

勉強のきっかけになった問題

ファイアウォールにおけるダイナミックパケットフィルタリングの特徴はどれか。

  1. IPアドレスの変換が行われるので,ファイアウォール内部のネットワーク構成を外部から隠蔽できる。
  2. 暗号化されたパケットのデータ部を復号して,許可された通信かどうかを判断できる。
  3. パケットのデータ部をチェックして,アプリケーション層での不正なアクセスを防止できる。
  4. 戻りのパケットに関しては,過去に通過したリクエストパケットに対応したものだけを通過させることができる。

情報セキュリティスペシャリスト平成26年春期 午前Ⅱ 問6

パケットフィルタリング型ファイアウォールは、ネットワーク層でパケットのヘッダ情報でアクセス制御を行うファイアウォールです。

http://sayacafe.sub.jp/sec/pic/FW_packetfiltering.jpg
ファイアウォール(パケットフィルタリングとアプリケーションゲートウェイ)、DMZの仕組みや特徴について

パケットのヘッダ情報内のIPアドレス及びポート番号を基準にパケット通過の可否を決定します。

社内ネットワークとインターネットの接続点にパケットフィルタリング型ファイアウォールを設置して,社内ネットワーク上のPCからインターネット上のWebサーバ(ポート番号80) にアクセスできるようにするとき,フィルタリングで許可するルールの適切な組合せはどれか。
https://www.fe-siken.com/kakomon/23_toku/img/44u.gif
平成23年特別問44 パケットフィルタリング|基本情報技術者試験.com

フィルタリングルールを用いて、本来必要なサービスに影響を及ぼすことなく外部に公開していないサービスへのアクセスを防げます。

http://www.sql-master.net/wp-content/uploads/2018/10/firewall-01-768x348.png
Firewall(ファイアウォール)とは、パケットフィルタリングとアプリケーションゲートウェイ – SQL Master データベースエンジニアとセキュリティエンジニアとLinuxエンジニアのための情報

パケットフィルタリング型ファイアウォールには、種類があります。

https://tech.nikkeibp.co.jp/it/article/lecture/20070508/270250/zu1s.jpg
Part2 フィルタリング---ファイアウォールの基本機能,フィルタリングの違いを理解する | 日経クロステック(xTECH)

スタティックパケットフィルタリングは、行きと戻りのヘッダ情報をフィルタリングテーブルに登録してアクセスを制御するファイアウォールです。

http://c-router.com/chap06/network-basic13901.jpg
静的フィルタリングと動的フィルタリングの違い Ciscoルータで学ぶネットワーク

社内ネットワークとインターネットの接続点に,ステートフルインスペクション機能をもたない,静的なパケットフィルタリング型ファイアウォールを設置している。このネットワーク構成において,社内のPCからインターネット上のSMTPサーバに電子メールを送信できるようにするとき,ファイアウォールで通過を許可するTCPパケットのポート番号の組合せはどれか。ここで,SMTP通信には,デフォルトのポート番号を使うものとする。
f:id:ponsuke_tarou:20191014081135p:plain
(引用元)平成30年春期問44 パケットフィルタリングルール|基本情報技術者試験.com

ダイナミックパケットフィルタリングは、通信のやり取りを判断して動的にフィルタリングテーブルが更新するファイアウォールです。

  • 英語: dynamic(動的な) packet filtering

https://ascii.jp/img/2009/08/12/853064/l/4ce07a5468d0a4e9.jpg
ASCII.jp:不正アクセスを防ぐファイアウォールの仕組み (4/6)

ステートフルパケットインスペクションは、出入りするパケットの通信状態を把握して外部から送信されたパケットのアクセスを動的に制御するファイアウォールです。

  • 英語: Stateful(処理状態を把握す) Packet Inspection(検査)
  • 略称: SPI
  • 別名: ステートフルインスペクション、ステートファイアウォール

ダイナミックパケットフィルタリングの1つです。

パケットフィルタリングを拡張した方式であり,過去に通過したパケットから通信セッションを認識し,受け付けたパケットを通信セッションの状態に照らし合わせて通過させるか遮断させるかを判断します。

このファイアウォールはコンテキストの中でパケットを判断します。 コンテキストとは、文脈という意味で、この場合はプログラムが処理内容を置かれた状態や状況、 与えられた条件から判断するという意味です。
覚えておくべき4種のファイアウォール

個々のセッションごとに過去の通信を保持しているため「順序の矛盾した攻撃パケットを遮断することができる」ことや、常に最小限の許可ルールが追加されるため「アクセス制御リストの設定不備を突く攻撃を受けにくい」という優れた点があり、多くのファイアウォール製品に採用されています。
情報セキュリティスペシャリスト平成27年秋期 午前Ⅱ 問3

f:id:ponsuke_tarou:20191014085606j:plain
なにかの芽

次回の勉強内容

ponsuke-tarou.hatenablog.com