ネットワーク管理：ファイアウォールプロトコル - ダミー

LANとの間のすべてのネットワークトラフィックは、ファイアウォールを通過する必要があり、ネットワークへの不正アクセスを防ぎます。ファイアウォールは、迷惑な訪問者をネットワークから守るために4つの手法があります。これらの手法のうちの3つについてここで説明します。 4番目のパケットフィルタリングは、この記事では扱いません。

ステートフルパケットインスペクション（SPI）

ステートフルパケットインスペクション（ はSPIとも呼ばれます）は、単純なパケットフィルタリングによるインテリジェンスのステップアップです。ステートフルなパケット検査機能を持つファイアウォールは、パケットを個々にではなくグループで調べます。どのパケットがファイアウォールを通過したかを追跡し、不正アクセスを示すパターンを検出できます。

<！ - 1 - >

ファイアウォールは、ファイアウォールがパケットを許可するか拒否するかを決定するのに十分な情報を収集するまで、到着時にパケットを保持することがあります。

ステートフルパケット検査はかつて高価なエンタープライズレベルのルータでのみ検出されました。しかし、現在、SPIファイアウォールは、中小規模のネットワークで十分に手頃な価格です。

回線レベルゲートウェイ

<！ - 回路レベルゲートウェイ

は、TCP / IPアドレスとポート番号に基づいて、クライアントとサーバ間の接続を管理します。接続が確立された後、ゲートウェイはシステム間を流れるパケットに干渉しません。 たとえば、Telnet回線レベルのゲートウェイを使用して、Telnet接続（ポート23）を特定のサーバーに許可し、そのサーバーへの他の種類の接続を禁止することができます。接続が確立された後、回線レベルゲートウェイはパケットが接続上で自由に流れることを可能にします。その結果、回線レベルのゲートウェイは、Telnetユーザーが特定のプログラムを実行したり特定のコマンドを使用したりするのを防ぐことができません。 <！アプリケーションゲートウェイ

アプリケーションゲートウェイ

は、パケットフィルタリングファイアウォール、ステートフルパケットインスペクション、または回線レベルゲートウェイファイアウォールよりもインテリジェントなファイアウォールシステムです。パケットフィルタは、すべてのTCP / IPパケットを同じように扱います。対照的に、アプリケーションゲートウェイは、ファイアウォールを通過するパケットを生成するアプリケーションの詳細を認識します。

たとえば、WebアプリケーションゲートウェイはHTTPパケットの詳細を認識しています。その結果、パケットはファイアウォールを通過する必要があるかどうかを判断するために、送信元アドレスと宛先アドレスおよびポート以外のものを調べることができます。 さらに、アプリケーション・ゲートウェイはプロキシ・サーバーとして機能します。簡単に言えば、 プロキシサーバー

は、クライアントコンピュータと実サーバーの間にあるサーバーです。プロキシサーバーは、実サーバー用のパケットを傍受して処理します。

プロキシサーバは、パケットを検査し、それを実サーバに渡すことを決定するか、パケットを拒否することができる。あるいは、プロキシサーバーは、実際のサーバーをまったく関与せずにパケット自体に応答することができます。例えば、ウェブプロキシは、一般的に使用されるウェブページのコピーをローカルキャッシュに格納することが多い。ユーザーがリモートWebサーバーからWebページを要求すると、プロキシサーバーは要求を傍受し、キャッシュにそのページのコピーが既にあるかどうかを確認します。その場合、Webプロキシはページを直接ユーザーに返します。そうでない場合、プロキシは要求を実サーバに渡します。 アプリケーションゲートウェイは、さまざまなタイプのTCP / IPサーバーが一連のTCP / IPパケットを処理する方法の詳細を認識し、着信パケットが正当なものであるか攻撃の一部であるかについてよりインテリジェントな決定を行うことができます。その結果、アプリケーションゲートウェイは、一度に1つのパケットしか処理できない単純なパケットフィルタリングファイアウォールよりも安全です。 しかし、アプリケーション・ゲートウェイのセキュリティが向上したことは価格がかかります。アプリケーション・ゲートウェイは、購入価格とそれらの構成と保守のコストの点で、パケット・フィルターよりも高価です。さらに、アプリケーションゲートウェイは、通過を許可する前にパケットの詳細なチェックを行うため、ネットワークのパフォーマンスが低下します。