「FireWall」の技術には、大きく分けて2つあります。
|
1.パケットフィルタリング |
パケットフィルタリングでは、インターネットと組織内ネットワークを接続するルータなどによって、通過することのできる
IPパケットを限定する機能です。この機能を利用すればFTPやTELNETについて組織内からインターネットへのアクセスは
許可してもインターネットから組織内へのアクセスは禁止するなどの設定が可能となります。
また、インターネットにアクセスすることのできる組織内端末を限定することも可能となります。
|
2.アプリケーションレベルでのゲートウェイ |
ゲートウェイでは、IPパケットの中継機能を停止させることによってネットワークを分離します。ゲートウェイ内外の通信は アプリケーションレベルで行います。
ゲートウェイを利用する方法は、パケットフィルタリングに比べてアプリケーションごとの細かいアクセス制御や詳細なログ情報を
採ったりすることが可能となります。
ゲートウェイを介して組織内ユーザがFTP・TELNETなどを行う方法には大きく分けて2つの方法があります。
a.ゲートウェイにいったんログインしてインターネットにアクセスする方法
この方法は、いったんゲートウェイにログインしてから再度インターネット上のホストにログインするというものですが、
ゲートウェイ上に組織内ユーザのアカウントを作成する必要があり、ユーザのパスワードを盗まれて侵入される危険性が高くなります。
b.ゲートウェイ上に中継プログラムを動作させる方法
この方法は、組織内外のコンピュータ間の通信を中継するプログラムをゲートウェイ上で動作させるというものです。中継プログラムを利用する
ことにより、ゲートウェイ上に組織内のユーザアカウントを作成する必要がなく、組織内ユーザからは直接インターネットに接続しているように見えます。
中継プログラムの代表的な例としては、フリーソフトウェアのsocks、WWWサーバのproxy機能などがあります。
例えばsocksはゲートウェイで走らせるサーバプログラムとsocks対応のクライアントアプリケーションから形成され、アプリケーション
ごとに発信元と送信先のIPアドレスをパラメータとしてアクセス制御を行ったり、中継した通信のログを採ったりすることができます。
|