Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
項目一覧
 

次世代サービス向けステートフルファイアウォールの概要

サービスPICは、ステートフルファイアウォールと呼ばれるファイアウォールの一種を採用しています。パケットを隔離して検査するステートレスファイアウォールとは対照的に、ステートフルファイアウォールは、過去の通信や他のアプリケーションから得られた状態情報を使用して、新しい通信の試みに対して動的に制御決定を行うことで、セキュリティ層を強化します。

ステートフルファイアウォールは、関連するフローを会話にグループ化し、会話の確立を許可するかどうかを決定します。会話が許可されている場合、会話のライフ サイクル中に作成されたフローを含め、会話内のすべてのフローが許可されます。

利点

フローのアプリケーションプロトコルデータを検査することで、ステートフルファイアウォールはセキュリティポリシーをインテリジェントに適用し、必要最小限のパケットトラフィックのみを許可します。

フローと会話

一般的な伝送制御プロトコル (TCP) またはユーザー データグラム プロトコル (UDP) の会話は、開始フローとレスポンダ フローの 2 つのフローで構成されます。ただし、FTP 会話など、一部の会話は、2 つの制御フローと多くのデータ フローで構成される場合があります。

フローは、次の 5 つのプロパティによって識別されます。

  • 送信元アドレス

  • 送信元ポート

  • 宛先アドレス

  • 宛先ポート

  • 議定書

ステートフルファイアウォールルール

ステートフル ファイアウォール ルールは、通信の確立を許可するかどうかを制御します。ルールは、一致条件と実行するアクションで構成されます。

一致条件には、方向、送信元アドレス、宛先アドレス、およびアプリケーション プロトコルまたはサービスが含まれます。設定した特定の値に加えて、値を割り当てることができます anyany-ipv4any-ipv6、またはservicesの下のaddress-bookを使用して、ステートフル ファイアウォール ルール内で使用するアドレス一覧と範囲を定義します。最後に、ルールnotが適用される一致を指定できます。

ステートフル ファイアウォール ルールオプションは、ファイアウォールルールのアクションには、トラフィックの許可またはトラフィックのドロップが含まれます。

ステートフルファイアウォールのルールには方向性があります。新しい通信ごとに、ルーター ソフトウェアは、開始フローの方向がルールの方向と一致するかどうかを判断します。

ステートフルファイアウォールのルールは順番に従っています。ソフトウェアは、設定に含める順序でルールをチェックします。ソフトウェアがフローに一致するルールを初めて検出すると、ルーターはそのルールで指定されたアクションを実装し、それ以降のルールを無視します。

ステートフルファイアウォールのルールは、インターフェイスを基準にして設定されます。デフォルトでは、ステートフルファイアウォールにより、インターフェイスの背後にあるホストから開始されたすべてのセッションがルーターを通過できます。

ステートフルファイアウォール異常チェック

ステートフルファイアウォールは、以下のイベントを異常として認識し、IDS ソフトウェアに送信して処理します。

  • IP異常:

    • IPバージョンが正しくありません。

    • IP ヘッダー長フィールドが小さすぎます。

    • IPヘッダー長は、パケット全体よりも大きく設定されています。

    • ヘッダーのチェックサムが不正です。

    • IP 全長フィールドがヘッダー長より短い。

    • パケットの IP オプションが正しくありません。

    • インターネット制御メッセージプロトコル(ICMP)パケット長エラー。

    • TTL(Time-to-live)は0です。

  • IPアドレスの異常:

    • IP パケット ソースはブロードキャストまたはマルチキャストです。

    • ランド攻撃(送信元 IP と宛先 IP)。

  • IPフラグメント化異常:

    • IP フラグメントのオーバーラップ。

    • IP フラグメントが欠落しています。

    • IP フラグメント長エラー。

    • IP パケットの長さが 64 キロバイト (KB) を超えています。

    • タイニーフラグメント攻撃。

  • TCP異常:

    • TCPポート0。

    • TCP シーケンス番号 0 とフラグ 0 です。

    • TCP シーケンス番号 0 と FIN/PSH/RST フラグ セット。

    • 間違った組み合わせのTCPフラグ(TCP、FIN/RSTまたはSYN/(URG|フィン|RST)です。

    • TCP チェックサムが正しくありません。

  • UDP異常:

    • UDP 送信元または宛先ポート 0。

    • UDP ヘッダー長のチェックに失敗しました。

    • UDP チェックサムが正しくありません。

  • ステートフルTCPまたはUDPチェックで検出された異常:

    • SYN の後に、イニシエータからの ACK のない SYN-ACK パケットが続きます。

    • SYN の後に RST パケットが続く。

    • SYN-ACK なしの SYN。

    • 非 SYN ファースト フロー パケット。

    • - SYN パケットの ICMP 到達不能エラー。

    • - UDP パケットの ICMP 到達不能エラー。

  • ステートフル ファイアウォール ルールによって破棄されたパケット数。