■パケット・フィルタリング(packet filtering)
ファイアウォールの実現手法の1つ。すべてのネットワーク・パケットを通過させるのではなく、あらかじめ設定した条件にしたがって、ヘッダ情報などを調べてパケットを選択的に通過/遮断を制御する機能のこと。
パケット・フィルタリング機能は、ファイアウォールだけなく、ブロードバンド・ルータなどにも搭載されている。また、Windows XPやWindows
Vista、Windows Server 2003/2008のファイアウォール機能も、パケット・フィルタリング機能をサポートしている。
パケット・フィルタリング機能を用いることで、特定のTCP/UDPポートを利用した通信を遮断することが可能になる。例えば、 Blasterワームが攻撃に利用するTCPポート135/139/445/593番、UDPポート135番を閉じることで、外部からこれらのポートを利用した通信を遮断し、Blasterワームの侵入を防ぐことも可能だ。
ただしFTPなどのように、クライアント側のポート番号が通信のたびに変化するような通信形態では、特定のポートを閉じてしまうと通信ができなくなってしまう可能性がある。そのためFTPが利用する広い範囲のポートを開けておかなければならない。しかし広い範囲のポートを開けると、それだけファイアウォールの通過条件が緩くなり、セキュリティ上あまり好ましい状態ではなくなってしまう。そこでポートのセッションを管理し、通信の開始時にポートを開け、終了時に閉じるといった動的なポート制御を行う機能を備えたパケット・フィルタリング機能もある。こうした機能を「ダイナミック・パケット・フィルタリング」と呼ぶ。 |