ステートフルインスペクション

最近、ウィルススキャンなどに搭載されているファイアウォールはステートフルインスペクションという技術を用いて動的にポートの開閉を行っているようですが、実際にプログラムレベルでどのようにして実現しているのでしょうか？
常時LISTENしているわけでもないのに．．．。
すごく疑問です。
知っている方がいらっしゃれば教えてください。
プロキシ開発のセキュリティ回りで応用できるかもしれないので。

No.1 回答者： Aruku-20030515 回答日時： 2004/02/11 02:45

簡単に言うとＩＰアドレスやポート番号毎でルールを決める静的ファーウォールとは違い

通信状態を制御するセッション情報を見て受けるか捨てるかして動的ファイヤーウォールの事です。

つまり、必要な時に必要な通信だけを透過し不必要となれば閉じると言う事です。

プログラムレベルでは、パケット毎に通信記録を取ります。
パケット情報には（送信元ＩＰとポート番号、送信先ＩＰとポート番号のほかに通信状態とシーケンス番号のやり取りがあります）
通常、静的ファイヤーウォールだとＩＰやポート番号、それと通信状態で縛りますが　ＩＰなど偽造されると透過されます。
しかしシーケンス番号はランダムに発行されますので、直接通信する者同士しか分かりません。

それらの情報を台帳管理する事により来たパケットが
必要なのか不必要なのかわかります。
また、突然　通信相手が偽造工作をしてきたとしても
こちら側で管理している台帳には載っていないので拒否されますので安全なのです。
（とは言え台帳に載っている情報にマッチする工作の場合透過されますが　まず　むずかしでしょう）

この回答へのお礼

なるほど。シーケンスの整合性ですか。
思いつきませんでした。
また、プロキシのセキュリティレベルを向上させるに充分効果がありそうですね。
実装のサンプルはあまり見かけませんが、回答頂いた仕掛けならなんとか実装できそうです。
回答が遅れましたが大変助かりました。
感謝します。

お礼日時：2004/02/12 16:07