No.7ベストアンサー
- 回答日時:
回答2の者です。
追加質問ありましたので、すでにほかの回答者さんが答えていらっしゃいますが、簡単な具体例で説明します。
>あと、文面にありました「ファイヤーウォールはFTPやSNMPなどの、さらに高いレイヤのプロトコルレベルでのフィルタ制御」ですが、よく理解できません。
>httpもftpもレイヤー7(アプリケーション層)のプロトコルで、ルータでフィルタができるようなのですがどういう意味なのでしょうか。
ルータのフィルタリングはあくまでも、「ポート23だからTelnetだな、許可しよう」というフィルタリングです。
それに対し、ファイヤーウォールは
「Telnetは許可しているが、3Wayハンドシェークがないのにいきなりポート23のデータがきたぞ。しかもペイロードをみるとhttpのGETじゃないか。拒否しよう」
というより高度な処理ができます。
前者を「パケットフィルタリング」、後者を「アプリケーションフィルタリング」といいます。
もしかすると、FTPやHTTPなどの定番プロトコルにならアプリケーションフィルタが適用できる安価なルータはあるかもしれません。
No.6
- 回答日時:
L3のルーティング機能を持つ機器 位の認識で良いかと
単純にルーティング機能のみしか有しない場合、ほぼ需要はないでしょう。
そこで、L3でのフィルタリング機能を有したものが出てきました。
その昔、FireWallが出たころは日本じゃこんなもん売れない!と言われていましたが
ネットの性善説が崩れた頃から、L4のフィルタリング機能の要望が増えてきました。
ぱっと出で実績も無いFireWallでは企業への導入は厳しい
ルーターのメーカーの顧客要望対応 として
ルーターにL4フィルタの機能を搭載
と言うのが、当時の流れであったように思われます。
冷蔵庫でテレビが見れる! みたいな感じでしょうか?:-)
No.5
- 回答日時:
元来の基本的なルータの定義は,質問者のおっしゃるとおりですし,回答ANo.2のとおりでしょう。
それに対して,私たちにとって目にする機会が多い「今市販されている」「安い3000円位の」ブロードバンドルータが,教科書的なルータの定義と比べて驚くほど多機能になっていることが混乱を招いているのだと思います。
http://ja.wikipedia.org/wiki/ルーター
の「10 ブロードバンドルーター,10.1 機能」を参照してみてください。プリンタ/コピー/スキャナ複合機も真っ青の,10以上のさまざまなネットワーク機能を併せ持つような「ルータ複合機」が現在市販されているブロードバンドルータ機器だと言えます。
>レイヤー4の機器としていいように思うのですが、そうしないのはなぜでしょうか。
前述のように多様な機能を有しつつも,ルータと呼ばれるための原則「IPネットワークを分割する」という基本機能を維持し続けているからではないでしょうか。
http://okwave.jp/qa/q4493290.html の私の過去の回答ANo.6
+―――――+/
―|ネット機器|―
+―――――+\
上図をレイヤ4の機器と呼ぶためには,レイヤ4だけを振り分け材料とする,すなわち,左側のインタフェースも右側のインタフェースも同一IPネットワークに所属することにも対応することになります。そして例えば,左側からやってきたTCPポート番号ごとに右側の各ポートに負荷分散したり,右側からのプロトコル毎の流量を判断調節して左側に帯域制御したりするわけです。
でも市販のブロードバンドルータは,左側と右側とでIPネットワークが異なるという基本線から逸脱することはないですから,いくら付加機能がついても,ルータという呼称はまあ間違っていないと私は思います。
>「ファイヤーウォールはFTPやSNMPなどの、さらに高いレイヤの
>プロトコルレベルでのフィルタ制御」ですが、よく理解できません。
>httpもftpもレイヤー7(アプリケーション層)のプロトコルで、
>ルータでフィルタができるようなのですがどういう意味なのでしょうか。
ANo.4で紹介されたja.wikipediaを参照。
SNMP,FTP,HTTPといったプロトコルの区別を,用いている「既定のTCPポート番号」で判断してフィルタする単純なパケットフィルタ型ファイアウォールもあれば,
SNMP,FTP,HTTPの「データの内容」まで監視してフィルタする複雑な動作のアプリケーションゲートウェイ型ファイアウォールもあります。
前者を付加機能として持つ市販のブロードバンドルータ製品は珍しくありませんが,後者を有している安価なBBルータ製品を私は知りません。
No.4
- 回答日時:
例えばBBルータにはNAPT機能が付いていますが、NAPTではポート番号変換を行います
ポート番号変換を行うにはTCP/UDPのポートを見て処理をする必要がありますので、現状ではLayer4のポートまでを見て処理をしないとBBルータとしてすら役に立ちません
本来Layer3までを見るルータのおまけの機能という位置づけは変わらないのかもしれませんが
> httpもftpもレイヤー7(アプリケーション層)のプロトコルで、ルータでフィルタができるようなのですがどういう意味なのでしょうか。
ポート番号を見たフィルタだけでなく、TCP/UDPヘッダよりも奥のペイロードまでを見て処理ができるということです
アプリケーションゲートウェイ型のファイアウォールがこれにあたります
http://ja.wikipedia.org/wiki/%E3%83%95%E3%82%A1% …
No.2
- 回答日時:
こんにちわ。
この質問は基礎を理解したうえでの、ものすごくよい質問だと思います。
>ルータはレイヤー3のネットワーク機器と教わりました。
その通りです。レイヤ3はIPアドレスを軸に、異なるネットワーク間の橋渡し(IPルーティング)を行います。
では、なぜTCPやUDPのポート番号でのフィルタリングが可能となるか。これを簡単に説明すれば「おまけ機能」といえば分かりやすいでしょうか。
ルータというのは読んで字のごとく、「ルーティングをする装置」ですから、本来の意味ではフィルタリングをする装置ではないのです。ルート制御をするからルータなのです。それ以外の機能、特にIP(Internet Protocol)以外のレイヤでのそれは本来はファイヤーウォール等の別レイヤの装置が行う機能です。
ですが、実際宛先やポート番号レベルでのフィルタはファイヤーウォールではあまり行いません。通常、ファイヤーウォールはFTPやSNMPなどの、さらに高いレイヤのプロトコルレベルでのフィルタ制御を行います。
逆に、ルータはルータで、ルーティング制御しかできないのであればあまり役に立ちません。他ベンダとの機能的差異も生まれません。ですので「ルータ」としてではなく、「サービス統合型ルータ」として、高いレイヤの制御も出来るルータが浸透しているわけです。
つまり、あくまでも「経路の選定及びネットワーク越えの通信」を行う機能がOSI参照モデルでいうレイヤ3であって、世間で市販されているルータが「レイヤ3レベルでの処理しかできない」というわけではないということです。
ご回答ありがとうございます。
やはり付加機能といった感じなのですね。
ということはルータはTCPヘッダの中を見て、内容を認識しているということでしょうか。
今市販されているルータは安い3000円位のものでもこのフィルタができるように思います。
レイヤー4の機器としていいように思うのですが、そうしないのはなぜでしょうか。
あと、文面にありました「ファイヤーウォールはFTPやSNMPなどの、さらに高いレイヤのプロトコルレベルでのフィルタ制御」ですが、よく理解できません。
httpもftpもレイヤー7(アプリケーション層)のプロトコルで、ルータでフィルタができるようなのですがどういう意味なのでしょうか。
再度質問になってしまい申し訳ありませんが、よろしければご回答下さいませ。
No.1
- 回答日時:
OSI参照モデルとTCP/IP階層モデルの図があれば、わかるのですが、TCP/IP階層モデルの第3層は、OSI参照モデルの第4層とほぼ同じです。
つまりルータのレイヤー3という意味は、TCP/IPの第3層を指しているからです。
*但し、これはメーカーとかで説明が違ってる場合があります。
(例)ルーターはネットワーク間を相互接続する通信機器であり、通常はOSI基本参照モデルでの第1層(物理層)から第3層(ネットワーク層)までの接続を担う。一般的に用いられるルーターは、基本機能として各ネットワーク間でのIPパケット(第3層)をやり取りできるようにする装置であるが、実際は基本に加えてさまざまな付加機能を実現している。<-この付加機能が曲者・・・
早速のご回答ありがとうございます。
「ルータのレイヤー3という意味は、TCP/IPの第3層を指している」ということはルータはトランスポート層の機器ということでしょうか。
これは違うように思うのですが・・・
ルータの位置づけは「ネットワーク層」「インターネット層」を指し、レイヤー3といっているように思います。
下記のURLを参考にしましたが、後者の「基本に加えてさまざまな付加機能」がそうかなと思います。
http://e-words.jp/w/E383ABE383BCE382BF.html
でないとL2スイッチでルーティングができないとおかしいような・・・
ルータのその部分の仕組み等がわかればなと思います。
もう少し回答をまってみます。
お探しのQ&Aが見つからない時は、教えて!gooで質問しましょう!
似たような質問が見つかりました
- ルーター・ネットワーク機器 YAMAHAルータ設定について 1 2022/09/03 16:31
- ルーター・ネットワーク機器 ひとつのスイッチでルーターの冗長化を複数させたい 1 2023/04/12 22:46
- 通信機器・周辺機器 ネットワーク分割について 3 2022/10/24 09:23
- Wi-Fi・無線LAN USBーイーサネット変換器について 4 2022/06/19 15:16
- ルーター・ネットワーク機器 ネットワークの機器(ルーター、スイッチ)選びについて 2 2023/03/16 22:12
- Wi-Fi・無線LAN wifiルータ 5 2023/01/15 19:50
- その他(悩み相談・人生相談) ファイル共有ソフトshareについて 1 2023/06/20 04:03
- Wi-Fi・無線LAN 現在ルータ機種WN-PL1167EX01を使用しています。中継器 WN-DAX1800EXPはOKか 2 2022/06/18 21:18
- 固定電話・IP電話・FAX GrandstreamのIP電話機(1615)での内線転送について 1 2022/12/03 15:57
- Wi-Fi・無線LAN 30メートル以上離れた家屋に無線LAN環境構築方法 7 2022/09/18 18:08
関連するカテゴリからQ&Aを探す
おすすめ情報
デイリーランキングこのカテゴリの人気デイリーQ&Aランキング
-
「フォーム再送信の確認」中の...
-
ダウンロードしたアプリケーシ...
-
Windows System32 Security Hea...
-
UPnPは無効にしたほうがいいの...
-
不正ログインされました。対応...
-
winndws セキュリティ
-
windows11 サービスにSecurity ...
-
Microsoft Formsのセキュリティ...
-
デスクトップファイル同期解除
-
yahoo知恵袋にあったミラーサイ...
-
家のセキュリティのため、何を...
-
ログインの継続?
-
不正アクセス禁止法
-
子供はマイクラにサインインで...
-
Windowsでimebroker hidden win...
-
SELECT * FROM 生徒名簿 WHERE ...
-
書き込みしようとすると「不正...
-
グローバルID(GUID?)をたださら...
-
中古DVDを読み込んだだけでマル...
-
前にファイル共有ソフトで暗証...
マンスリーランキングこのカテゴリの人気マンスリーQ&Aランキング
-
ICMPは通るのにTCP/UDPが通らない
-
WindowsのフリーソフトでSYSLOG...
-
低価格(1~3万円程度)で購入...
-
中継ポイントのルーターはデー...
-
ネットワーク構成例の案
-
80番ポートにアクセスがきたら1...
-
YAMAHA RT58iで、ルータのログ...
-
ルータのフィルタについて
-
ルーターのIPフィルター設定に...
-
ルーターまではport80でもサー...
-
DDNSにてwebサーバーを公開した...
-
TCP/IPでの通信の仕組み(パケッ...
-
離れた営業所間のLAN接続をしたい
-
telnetの時にタイムアウトが発...
-
8個のグローバルIPをRTX1200に...
-
OP25B対策で、25番ポートを閉じ...
-
「239.255.255.250:1900」宛の...
-
プライベートIPアドレスは通信...
-
NT Kernel System(ntoskrnl.exe...
-
マルチキャストのExcludeモード...
おすすめ情報