No.18 ネットワークの境界に設置され、内外の通信を中継・監視し、外部の攻撃から内部を保護するためのソフトウェアや機器、システムなどのこと。
原義は「防火壁」で、外部からの攻撃に対する防御を、火事の炎を遮断して延焼を防ぐことになぞらえている。
一般的な構成では、(***)に内部ネットワークの回線と外部ネットワークの回線を両方つなぎ、内部と外部の通信が必ず(***)を通過するようにして、(***)が一定の基準に従って不正と判断した通信を遮断する。
サーバコンピュータ上でソフトウェアとして動作するものと、専用の通信機器として提供されるものがあり、コストや導入の容易さを重視する場合は前者を、規模や性能が必要な場合は後者を用いることが多い。
主な機能はパケットフィルタリングで、内外を通過するパケットの制御情報や内容を読み取り、あらかじめ指定された条件に基づいて通過の可否を判断する。
よく用いられる条件として、送信元IPアドレス、宛先IPアドレス、プロトコルの種類(ICMP/UDP/TCP)、送信元ポート番号、宛先ポート番号、通信の方向(内部→外部/外部→内部)などがあり、これらの組み合わせによって可否を指定することができる。
形式的な判定だけでなく、TCPコネクションの状態などを一定の過去まで記録しておき、過去の通信と辻褄の合わない奇妙な制御情報が記載されたパケットが届くと攻撃の試みであるとみなして拒絶する「ステートフルパケットインスペクション」(SPI)など、高度な判断が可能な製品もある。
原義は「防火壁」で、外部からの攻撃に対する防御を、火事の炎を遮断して延焼を防ぐことになぞらえている。
一般的な構成では、(***)に内部ネットワークの回線と外部ネットワークの回線を両方つなぎ、内部と外部の通信が必ず(***)を通過するようにして、(***)が一定の基準に従って不正と判断した通信を遮断する。
サーバコンピュータ上でソフトウェアとして動作するものと、専用の通信機器として提供されるものがあり、コストや導入の容易さを重視する場合は前者を、規模や性能が必要な場合は後者を用いることが多い。
主な機能はパケットフィルタリングで、内外を通過するパケットの制御情報や内容を読み取り、あらかじめ指定された条件に基づいて通過の可否を判断する。
よく用いられる条件として、送信元IPアドレス、宛先IPアドレス、プロトコルの種類(ICMP/UDP/TCP)、送信元ポート番号、宛先ポート番号、通信の方向(内部→外部/外部→内部)などがあり、これらの組み合わせによって可否を指定することができる。
形式的な判定だけでなく、TCPコネクションの状態などを一定の過去まで記録しておき、過去の通信と辻褄の合わない奇妙な制御情報が記載されたパケットが届くと攻撃の試みであるとみなして拒絶する「ステートフルパケットインスペクション」(SPI)など、高度な判断が可能な製品もある。
⭕️
❌
💾
| 🖊 | ☑️ |
| ⭕️ | [[ AnswerCalc[0] ]] % | A | [[ AnswerCalc[1] ]] |
|
|
|
|
|
|
|
|
💾
✔️
| [[ d.CommentTxt ]] |
| < | > |
| 🥇 |