UDP～3

トランスポート層で動作する機器といえば「ファイアウォール」でしょう。

IPアドレスやプロトコル、ポート番号などを使用して、通信を制御する機器です。

「ステートフルインスペクション」

「フィルタリングルール」

「コネクションテーブル」

を用いて、通信を制御しています。

■フィルタリングルール

どんな通信を許可し、どんな通信を拒否するかを定義している設定です。

「ポリシー」、「ACL」などとも呼ばれます。

「送信元IPアドレス」「宛先IPアドレス」「プロトコル」「送信元ポート番号」「宛先ポート番号」「アクション」などの設定項目で構成されています。

各設定項目で特定できない要素については「ANY」を設定します。

■コネクションテーブル

ステートフルインスペクションは、フィルタリングルールを、コネクションの情報をもとに動的に書き換えることによって、セキュリティ強度を高めています。

ファイアウォールは、自身を経由するコネクションの情報を「コネクションテーブル」と呼ばれるメモリ内のテーブルで管理しています。

「送信元IPアドレス」「宛先IPアドレス」「プロトコル」「送信元ポート番号」「宛先ポート番号」「コネクションの状態」「アイドルタイムアウト」など、各種要素からなるコネクションエントリから構成されています。

◇動作について

・許可パケットを通した後、許可したフィルタリングルールをもとにコネクションテーブルにコネクションエントリを作成します。

⇓

・作成したコネクションエントリから戻り通信用の許可エントリをフィルタリングルールに作成します。

戻り通信は、送信元と宛先を反転した通信です。

⇓

・戻り通信を受け取ると、動的に作成した戻り通信用の許可エントリに基づき、制御を実行します。

あわせて、コネクションエントリのアイドルタイム（無通信時間）を「0秒」にリセットします。

⇓

・ファイアウォールは通信が終了したら、コネクションエントリのアイドルタイムアウトをカウントアップします。

アイドルタイムアウトが経過すると、コネクションエントリとそれに関連するフィルタリングエントリを削除します。

アイドルタイムアウトの設定は機器ベンダによってさまざまで設定可能です。

コネクションエントリの数は、そのままファイアウォールのメモリの使用率に影響します。

大量のUDPデータグラムをさばく必要がある場合は、あらかじめアイドルタイムアウトを短く設定しておき、メモリを節約することも検討するとよいでしょうか。

次は、TCPについてです。ふぅ～

=======================

今日の一言：

戻り通信用の許可ルールを動的に作成するステートフルインスペクション！長い名前だ

=======================