読者です 読者をやめる 読者になる 読者になる

『ネットワーク技術&設計入門』を読んで

2回ほど読む。各章については、

 

第1章 物理設計
第2章 論理設計
第3章 セキュリティ設計・負荷分散設計
第4章 高可用性設計
第5章 管理設計

 

と構成されているように、設計を軸に書かれている。
実際に自分で触ったことがあるファイアウォール、例えばfortigateを触ったことがあるのなら、第3章のステートフルインスペクションは、コネクションテーブルをもとに行われている、というのがfortiのポリシーを指していると分かる。本によって+α、こうした機能は通信制御機能といってFWの持つステートフルインスペクションと、ルータ・L3スイッチでできるパケットフィルタリングに大別されると分かった。以前どこかの講義でCISCOのアクセスリストについて聞いた際、fortiのポリシーと同じようなものかと私は思っていたが、コネクションとパケットベースで見れば、それは同じものではないと理解できた。

 

他にはfortiは戻りの通信は書かなくて良いと以前業務で聞かされていたが、これはベース、処理の仕方の違いに起因するものだと分かった。ステートフルインスペクションは戻りの通信を動的に処理してくれるが、パケットフィルタリングは、そのようなことはしない。戻り用の通信ルールをパケットベースで許可することはセキュリティリスクになり得るらしい。httpでクライアントに対する送信元ポート番号はデフォルトで「80」1つだが、宛先ポートはOSがランダムに選ぶ「1024~65535」となる。パケットフィルタリングでは、この宛先ポート番号を幅広く許可しなければならず、この状態でサーバを乗っ取られると、攻撃者に好きにやられてしまうそうだ。

 

この本は内容が深くセキュリティ、ステートフルインスペクションを読んだ感想だけでも長くなってしまった気がするが、次は他の項目、例えば「論理設計」を読んだ感想についても述べてみたい。