ルータのフィルタについて

ルータのフィルタについて

一般的なルータのファイアウォール機能で、httpの80番ポートを閉じるといったような設定ができるようですが、ルータはレイヤー3のネットワーク機器と教わりました。
ポート番号はTCP,UDPのレイヤー4以上で利用するものと教わりました。

ルータはなぜ、レイヤー3の機器なのにポート番号を認識して制御できるのでしょうか。

よろしくお願いします。

No.7 ベストアンサー 回答者： graniph 回答日時： 2010/10/19 11:35

回答２の者です。

追加質問ありましたので、すでにほかの回答者さんが答えていらっしゃいますが、簡単な具体例で説明します。

＞あと、文面にありました「ファイヤーウォールはFTPやSNMPなどの、さらに高いレイヤのプロトコルレベルでのフィルタ制御」ですが、よく理解できません。
＞httpもftpもレイヤー７(アプリケーション層)のプロトコルで、ルータでフィルタができるようなのですがどういう意味なのでしょうか。

ルータのフィルタリングはあくまでも、「ポート23だからTelnetだな、許可しよう」というフィルタリングです。
それに対し、ファイヤーウォールは
「Telnetは許可しているが、3Wayハンドシェークがないのにいきなりポート23のデータがきたぞ。しかもペイロードをみるとhttpのGETじゃないか。拒否しよう」
というより高度な処理ができます。

前者を「パケットフィルタリング」、後者を「アプリケーションフィルタリング」といいます。
もしかすると、FTPやHTTPなどの定番プロトコルにならアプリケーションフィルタが適用できる安価なルータはあるかもしれません。

この回答へのお礼

ご回答ありがとうございます。

多くの方に回答いただき感謝します。
大変勉強になり、モヤモヤがすっきりしました。

お礼日時：2010/10/19 23:05

No.6 回答者： pakuti 回答日時： 2010/10/19 11:16

L3のルーティング機能を持つ機器　位の認識で良いかと

単純にルーティング機能のみしか有しない場合、ほぼ需要はないでしょう。
そこで、L3でのフィルタリング機能を有したものが出てきました。
その昔、FireWallが出たころは日本じゃこんなもん売れない！と言われていましたが
ネットの性善説が崩れた頃から、L4のフィルタリング機能の要望が増えてきました。

ぱっと出で実績も無いFireWallでは企業への導入は厳しい
ルーターのメーカーの顧客要望対応　として
ルーターにL4フィルタの機能を搭載
と言うのが、当時の流れであったように思われます。

冷蔵庫でテレビが見れる！　みたいな感じでしょうか？:-)

この回答へのお礼

ご回答ありがとうございます。

多くの方に回答いただき感謝します。
大変勉強になり、モヤモヤがすっきりしました。

お礼日時：2010/10/19 23:03

No.5 回答者： jjon-com 回答日時： 2010/10/19 09:01

元来の基本的なルータの定義は，質問者のおっしゃるとおりですし，回答ANo.2のとおりでしょう。

それに対して，私たちにとって目にする機会が多い「今市販されている」「安い3000円位の」ブロードバンドルータが，教科書的なルータの定義と比べて驚くほど多機能になっていることが混乱を招いているのだと思います。

http://ja.wikipedia.org/wiki/ルーター
の「10 ブロードバンドルーター，10.1 機能」を参照してみてください。プリンタ／コピー／スキャナ複合機も真っ青の，10以上のさまざまなネットワーク機能を併せ持つような「ルータ複合機」が現在市販されているブロードバンドルータ機器だと言えます。


>レイヤー４の機器としていいように思うのですが、そうしないのはなぜでしょうか。

前述のように多様な機能を有しつつも，ルータと呼ばれるための原則「IPネットワークを分割する」という基本機能を維持し続けているからではないでしょうか。
http://okwave.jp/qa/q4493290.html の私の過去の回答ANo.6

　＋―――――＋／
―｜ネット機器｜―
　＋―――――＋＼

上図をレイヤ４の機器と呼ぶためには，レイヤ４だけを振り分け材料とする，すなわち，左側のインタフェースも右側のインタフェースも同一IPネットワークに所属することにも対応することになります。そして例えば，左側からやってきたTCPポート番号ごとに右側の各ポートに負荷分散したり，右側からのプロトコル毎の流量を判断調節して左側に帯域制御したりするわけです。
でも市販のブロードバンドルータは，左側と右側とでIPネットワークが異なるという基本線から逸脱することはないですから，いくら付加機能がついても，ルータという呼称はまあ間違っていないと私は思います。


>「ファイヤーウォールはFTPやSNMPなどの、さらに高いレイヤの
>プロトコルレベルでのフィルタ制御」ですが、よく理解できません。
>httpもftpもレイヤー７(アプリケーション層)のプロトコルで、
>ルータでフィルタができるようなのですがどういう意味なのでしょうか。

ANo.4で紹介されたja.wikipediaを参照。
SNMP，FTP，HTTPといったプロトコルの区別を，用いている「既定のTCPポート番号」で判断してフィルタする単純なパケットフィルタ型ファイアウォールもあれば，
SNMP，FTP，HTTPの「データの内容」まで監視してフィルタする複雑な動作のアプリケーションゲートウェイ型ファイアウォールもあります。
前者を付加機能として持つ市販のブロードバンドルータ製品は珍しくありませんが，後者を有している安価なBBルータ製品を私は知りません。

この回答へのお礼

ご回答ありがとうございます。

多くの方に回答いただき感謝します。
大変勉強になり、モヤモヤがすっきりしました。

お礼日時：2010/10/19 23:02

No.4 回答者： 774danger 回答日時： 2010/10/19 00:29

例えばBBルータにはNAPT機能が付いていますが、NAPTではポート番号変換を行います

ポート番号変換を行うにはTCP/UDPのポートを見て処理をする必要がありますので、現状ではLayer4のポートまでを見て処理をしないとBBルータとしてすら役に立ちません

本来Layer3までを見るルータのおまけの機能という位置づけは変わらないのかもしれませんが

> httpもftpもレイヤー７(アプリケーション層)のプロトコルで、ルータでフィルタができるようなのですがどういう意味なのでしょうか。

ポート番号を見たフィルタだけでなく、TCP/UDPヘッダよりも奥のペイロードまでを見て処理ができるということです
アプリケーションゲートウェイ型のファイアウォールがこれにあたります
http://ja.wikipedia.org/wiki/%E3%83%95%E3%82%A1% …

この回答へのお礼

ご回答ありがとうございます。

多くの方に回答いただき感謝します。
大変勉強になり、モヤモヤがすっきりしました。

お礼日時：2010/10/19 23:02

No.3 回答者： seednyan 回答日時： 2010/10/18 23:46

さっきの回答はちょっと勘違いしたところあったんで、無視してください。

ご迷惑をおかけしましたね！！

No.2 回答者： graniph 回答日時： 2010/10/18 22:47

こんにちわ。

この質問は基礎を理解したうえでの、ものすごくよい質問だと思います。

＞ルータはレイヤー3のネットワーク機器と教わりました。

その通りです。レイヤ３はIPアドレスを軸に、異なるネットワーク間の橋渡し（IPルーティング）を行います。

では、なぜTCPやUDPのポート番号でのフィルタリングが可能となるか。これを簡単に説明すれば「おまけ機能」といえば分かりやすいでしょうか。

ルータというのは読んで字のごとく、「ルーティングをする装置」ですから、本来の意味ではフィルタリングをする装置ではないのです。ルート制御をするからルータなのです。それ以外の機能、特にIP（Internet Protocol）以外のレイヤでのそれは本来はファイヤーウォール等の別レイヤの装置が行う機能です。

ですが、実際宛先やポート番号レベルでのフィルタはファイヤーウォールではあまり行いません。通常、ファイヤーウォールはFTPやSNMPなどの、さらに高いレイヤのプロトコルレベルでのフィルタ制御を行います。

逆に、ルータはルータで、ルーティング制御しかできないのであればあまり役に立ちません。他ベンダとの機能的差異も生まれません。ですので「ルータ」としてではなく、「サービス統合型ルータ」として、高いレイヤの制御も出来るルータが浸透しているわけです。

つまり、あくまでも「経路の選定及びネットワーク越えの通信」を行う機能がOSI参照モデルでいうレイヤ３であって、世間で市販されているルータが「レイヤ３レベルでの処理しかできない」というわけではないということです。

この回答へのお礼

ご回答ありがとうございます。

やはり付加機能といった感じなのですね。
ということはルータはTCPヘッダの中を見て、内容を認識しているということでしょうか。

今市販されているルータは安い3000円位のものでもこのフィルタができるように思います。
レイヤー４の機器としていいように思うのですが、そうしないのはなぜでしょうか。

あと、文面にありました「ファイヤーウォールはFTPやSNMPなどの、さらに高いレイヤのプロトコルレベルでのフィルタ制御」ですが、よく理解できません。
httpもftpもレイヤー７(アプリケーション層)のプロトコルで、ルータでフィルタができるようなのですがどういう意味なのでしょうか。

再度質問になってしまい申し訳ありませんが、よろしければご回答下さいませ。

お礼日時：2010/10/18 23:10

No.1 回答者： seednyan 回答日時： 2010/10/18 22:24

OSI参照モデルとTCP/IP階層モデルの図があれば、わかるのですが、TCP/IP階層モデルの第３層は、OSI参照モデルの第４層とほぼ同じです。

つまりルータのレイヤー３という意味は、TCP/IPの第３層を指しているからです。
＊但し、これはメーカーとかで説明が違ってる場合があります。
（例）ルーターはネットワーク間を相互接続する通信機器であり、通常はOSI基本参照モデルでの第1層（物理層）から第3層（ネットワーク層）までの接続を担う。一般的に用いられるルーターは、基本機能として各ネットワーク間でのIPパケット（第3層）をやり取りできるようにする装置であるが、実際は基本に加えてさまざまな付加機能を実現している。＜－この付加機能が曲者・・・

この回答へのお礼

早速のご回答ありがとうございます。

「ルータのレイヤー３という意味は、TCP/IPの第３層を指している」ということはルータはトランスポート層の機器ということでしょうか。

これは違うように思うのですが・・・

ルータの位置づけは「ネットワーク層」「インターネット層」を指し、レイヤー３といっているように思います。
下記のURLを参考にしましたが、後者の「基本に加えてさまざまな付加機能」がそうかなと思います。
http://e-words.jp/w/E383ABE383BCE382BF.html

でないとL2スイッチでルーティングができないとおかしいような・・・

ルータのその部分の仕組み等がわかればなと思います。

もう少し回答をまってみます。

お礼日時：2010/10/18 22:48