こんにちは、きおかです。
現在関わっている認証基盤システムの実装の中で、Firewallに関して詰まった部分があったので、前回のWebブラウザのプログラムに続き、また備忘録を置いておこうと思います。
パケットフィルタリング
静的パケットフィルタリング
予め定義しておいたポート番号やIPアドレスなどの条件に基づいてパケットをフィルタリングする。
AWSにおいてはネットワークACLが該当する。ネットワークACLはステートレスであり、すなわち戻り通信が前提のアウトバウンド通信を制限する場合は、戻りの通信も定義する必要がある。
ネットワークACLはサブネットを制御の対象とする。
動的パケットフィルタリング(≒ステートフルインスペクション)
戻りを自動で許可し、通信が終了すれば自動で許可を削除するか、保存しておくことができる。
AWSにおいてはセキュリティグループが該当する。例えばアウトバウンドで443を許可していれば(暗号化のハンドシェイク的な通信で戻り通信が必然になるが)、インバウンドで許可する必要がない。
ルータとファイアウォールの基本ポリシーの違い
ルータは経路選択をして基本的に全てを許可し、必要に応じて拒否ルールを手動で追加する。
ファイアウォールは基本的に全てを拒否し、許可する通信を手動で定義する。
ファイアウォールの冗長化とは
VRRP(Virtual Router Redundancy Protocol)を用いる。主系(Active)と副系(Standby)の間で自動的に切り替えが行われ、一方がダウンしてももう一方が通信を引き継ぐ。
uRPF(Unicast Reverse Path Forwarding)
uRPFは送信元IPアドレスも検査する(ルーターは基本的に、宛先IPアドレスとルーティングテーブルのみを考える)。
特にプロバイダでは、プロバイダ内のルートテーブルに記載のない送信元IPアドレスが記載されているパケットが届いた場合、uRPFに基づきそのパケットを破棄する。
調査課題
上記はFirewallの基本要素ですが、NGFW(Next Generation FireWall:次世代ファイアウォール)やUTM(Unified Threat Management)やWAF(Web Application Firewall)といったものがあるらしく、今は理解できませんでした。
さいごに
学ぶことが多いのと同時に、ネットの記事だと割と間違ったこと書いてるものも多いみたいで、しっかりと先輩やメンターの方に相談しながら勉強を進めたいと思います。
今回はここまで!