ファイアウォール
概要
ファイアウォール (防火壁) とは,ある特定のコンピュータ・ネットワークとその外部との通信を制御し,内部のコンピュータ・ネットワークの安全を維持することを目的としたソフトウェア,あるいはそのソフトウェアを搭載したハードウェアである. 英語で防火壁と表現するのは,外部から内部のコンピュータ・ネットワークへ侵入しようとするクラッキング行為を,火事に喩えたものである. ファイアウォールは,その動作するプロトコル階層によって細かく分類される.
ファイアウォール (防火壁) とは,ある特定のコンピュータ・ネットワークとその外部との通信を制御し,内部のコンピュータ・ネットワークの安全を維持することを目的としたソフトウェア,あるいはそのソフトウェアを搭載したハードウェアである. 英語で防火壁と表現するのは,外部から内部のコンピュータ・ネットワークへ侵入しようとするクラッキング行為を,火事に喩えたものである. ファイアウォールは,その動作するプロトコル階層によって細かく分類される.
侵入検知システム(Intrusion Detection System, IDS) とは,コンピュータ・ネットワークにおいて特定のネットワークおよびコンピュータへの不正な侵入の兆候を検知し,ネットワーク管理者に通報する機能を持つソフトウェアまたはハードウェアのことをいう. また,侵入防止システム (Intrusion Prevention System または Intrusion Protection System,IPS) とは,このような不正な侵入を防御するシステムのことをいう.
すすんだ異常トラフィック監視装置である GenieATM 6000 [Gen 05] [Qua] の機能を参考にして,IP ネットワークにおける異常トラフィック監視の機能についてのべる.
ルータなどのネットワーク・ノードにおいてトラフィックを計測してその結果を IDS (侵入検知システム),IPS (侵入防止システム) などのサーバにおくり,DoS 攻撃 (サービス妨害攻撃), DDoS 攻撃 (分散サービス妨害攻撃) などをふくむ,さまざまな異常を検知するため,計測結果の送信のためのいくつかの標準 MIB や標準プロトコルが開発されている. ここではそれらの標準について記述する.
IP フロー情報出力 (IP フロー計測) においては,IETF において標準化された IPFIX (IP Flow Information Export) や,標準化中の PSAMP (Packet Sampling) のフレームワークがつかわれる. これらにおいては,Exporter すなわち IPFIX の機能をそなえたルータなどのネットワーク機器が IPFIX プロトコルによって IP フロー情報を Collector におくる. Exporter 内には計測プロセス (Metering Process(es)) と送出プロセス (Exporting Process) とがふくまれる. ここではこれらのプロセスの機能を IPFIX のアーキテクチャ・ドラフト [Sad 07] や PSAMP のドラフト [Duf 08] [Zse 08] にもとづいて説明する.
IPFIX 媒介 [Kob 08a] [Kob 08b] や IPFIX フロー集約 [Dre 08] のインターネット・ドラフトにおいては,IP フロー情報を媒介したり集約したりする装置のゆるい仕様が規定されている. IPFIX の要求ドキュメント [Qui 04] には IPFIX によるフロー情報を媒介するしくみとして Concentrator (集約装置) や Proxy (代理装置) が定義されているが,アーキテクチャ・ドラフトに記述された要素だけではとくに集約装置を実現するには十分でないとかんがえられる. それをおぎなうのが前記のドラフトである.
WINDS [Nis 08] [Kuw 08] は DDOS (分散サービス拒否攻撃) をはじめとする各種の DOS の対策を目的とする広域トラフィック監視・制御のためのシステムであり, NTT 情報流通プラットフォーム研究所 (PF 研) を中心として,おもに総務省委託研究 「次世代バックボーンの研究開発」 において開発されている.
螺旋 3D 印刷技術を使用してつくったこのような「3D デザインランプ」を 3d-dl.com で売っています.
サブサイト「調査と解説」のカテゴリ「トラフィック計測・監視」に投稿されたすべてのエントリーのアーカイブのページです。過去のものから新しいものへ順番に並んでいます。
前のカテゴリはデータ・ストリーム管理システムです。
次のカテゴリはポリシーベース制御・管理です。