Index ソフト・ハード ネットワークタスク | ファイアウォール |
構成機器のタイプ FirewallのNW構築 Firewall BOXのNAT |
ファイアウォール構成機器のタイプ ・パケット・フィルタリング型 IPヘッダからIPアドレスを識別 TCP/UDPヘッダからポート番号を識別 TCPプロトコルであれはヘッダのフラグを利用 カーネルレベルで行うと処理が速い パケットのヘッダ部を読み取る(処理が高速だがAPレベルの制御が出来ない) Linux:「iptables」・アプリケーション・ゲートウェイ型(プロキシ) 識別をアプリケーションレベルで行う APレベルの制御が出来るが、処理がパケット・フィルタリング型より遅い。・ステートフル・インスペクション型 ファイアウォールを通過するパケットの状態を記憶し、1つのデータの流れとして制御 ヘッダとデータの識別を、一般にカーネルレベルで行うため処理が速い。ファイアウォールのネットワーク構築 ・ファイアウォールBOXに4枚のNIC 1枚目はインターネットへ 2枚目は社内へ 3枚目はDMZ(Demilitarized Zone)へ 4枚目のNICにDBやAPサーバー(動的コンテンツ)をつなぐ。 DMZ上の特定のサーバーのみアクセスできる。 社内のネットワークからもBD等を隔離し、運用しやすい。・ファイアウォールBOXを2台に分離 ファイアウォールBOXへの負荷集中の緩和 セキュリティが高まるファイアウォールBOXのNAT(DMZ内のサーバーへもプライベートアドレス) ・静的NAT(Network Address Translation) アドレスを常に1対1で固定されて変換・動的NAT(IPマスカレード) 1つのグローバルアドレスを動的に複数のクライアントで共有 |
All Rights Reserved. Copyright (C) ITCL |