ステートフルインスペクション
ここでは、厳密に戻りのパケットを指定するステートフルインスペクションという手法を説明してゆきます。この手法では、TCPヘッダの中もを詳しくチェックします。
TCPヘッダは、次のように構成されています。
TCPの通信では、コードビット部の「ACK」を見て、通過させるか遮断するかの判断し、さらにシーケンス番号を確認します。
このシーケンス番号とは、受け取ったパケットを元通りに組み立てるために必要な番号です。パケットを送った順番通りに相手に届かないことがあるため、TCPでは、この番号を利用して並び替えを行っています。
ステートフルインスペクションを実装するファイアウォールでは、通過するパケットのシーケンス番号を見て、次に戻ってくるパケットのシーケンス番号を予測して、予測した番号と異なる値のパケットを受信したら破棄するように動作します。
ステートフルインスペクション機能を実装するファイアウォールでは、このシーケンス番号を確認するだけのものから、パケット内のデータ部分まで確認するものまで様々な製品があります。
フィルタリングに必要な情報
ファイアウォールを設定するには、フィルタリングテーブルを定義してゆく必要があります。この時、アプリケーションがどのように通信を行うのか、通信の手順の流れや、特徴を把握しておかなければ、フィルタリングの条