[ファイアウォール]


<FWX120のパケット処理構造(L3/ルーター型)>

[ファイアウォール] FWX120のパケット処理構造(L3/ルーター型)

ヤマハの平野です。

先週発表された『ファイアウォール FWX120』の「パケット処理構造(L3/ルーター型)」を紹介します。

【ルーターとファイアウォールの背景】

ヤマハのルーター

  • 1994年 日本で商用インターネットがスタート
  • 1995年3月 RT100i発売
  • その後、RT100iに様々な機能を搭載してきた。
    ルーター機能や内部構造は、歴史的に蓄積されたもの。
    ファイアウォール機能(フィルターや不正アクセス検知機能)は、インターフェースで処理され使い方によっては2度通る。

ヤマハのセキュリティアプライアンス(ファイアウォール)

  • FWX120(SRT100)では、内部構造を見直しました。
  • セキュリティアプライアンスとして、あるべき姿を目指して再構築した。
  • なお、L2/透過型を利用する場合には、利用できない機能があるので確認してください。

【セキュリティのための内部構造】

FWX120で大切にしていることは、「セキュリティ機能は、不正アクセスを破棄できることは当然として、記録できること」です。つまり、「外部メモリを利用できる」ことも重要であると考えています。

Fwx120_packet_disposal0

「インターネットからの不正アクセス」のパケットに対して、セキュリティ機能がどのように適用されるのかという点でFWX120とRTX1200/RTX810に違いがあります。

最初にRTX1200やRTX810のパケット処理構造を図示します。その記述方法をベースにFWX120のパケット処理構造を図示しますので、違いを見比べてみてください。

【参考:RTX1200/RTX810のパケット処理構造】

  • 「インターネットからのアクセス」は、赤い矢印のルートでLANに入ってきます。逆に出るパケットは、青い矢印のルートで出ていきます。
  • RTX1200/RTX810では、イーサネットフィルターを除くと、NATディスクリプターが最初に処理されます。そのあとで、ファイアウォール機能が働きますので、NATディスクリプターでIPマスカレードを利用している場合には、そこで破棄されるアクセスもあります。
  • ファイアウォールやURLフィルターなどのセキュリティ機能は、「インターフェース」で処理(実行)されるイメージですので、ルーティングの前後で2回機能させることができます。違う表現をすると、ルーティングやルーター機能から見て、あらゆる方向にファイアウォールを構築できるような仕組みになっています。

Rtx810_packet_disposal

【FWX120のパケット処理構造】

  • 「インターネットからのアクセス」は、赤い矢印のルートでLANに入ってきます。逆に出るパケットは、青い矢印のルートで出ていきます。
  • FWX120では、イーサネットフィルターを除くと、不正アクセス検知や入力遮断フィルターが露払いのように働きます。その次に、様々な処理が行われます。
  • ポリシーフィルターは、ルーティング後に適用されます。
  • 考え方としては、「インターネットとLANを繋ぐ時、セキュリティ検査を適切に行うこと」を目的に再構築されています。

Fwx120_packet_disposal1

「何故、このようなパケット処理が行われいるのか?」は、「パケットの気持ち」になって、考えると理解していただけるかもしれませんね。つまり、我々の考える「セキュリティアプライアンスとしてのあるべき姿」なのです。

【技術情報】

【FWX120関連記事】

【LAN見える化セミナー】


トラックバック

このページのトラックバックURL:
http://www.typepad.jp/t/trackback/240314/6969950

このページへのトラックバック一覧


コメント

コメントを投稿



ヤマハのネットワーク製品

プロジェクトフォン

会議システムとは、手軽に遠隔地と連絡や議論を行うためのもの。実際は、ハウリングしたり、声が途切れたり、返事が聞こえなかったり。プロジェクトフォンは、会議の音を改善する新しい会議システムです。

ルータ&ファイアウォール



 1995年よりISDN応用製品のひとつとして始めたヤマハルーター。常にSOHO、中堅・中小企業の皆様に最先端のネットワークソリューションを提供し、多くの実績をお客様と共に作って参りました。SRT100は、より信頼性の高いネットワークセキュリティを実現します。