ネットワークセキュリティ
パケットフィルタリング
別称: パケットフィルタ
定義
各パケットのヘッダフィールドを検査し、静的なルールセットに従って通過または破棄を決定するネットワークセキュリティ技術。
パケットフィルタリングは、L3/L4 で個々のパケットを検査し、送信元/宛先 IP・トランスポートプロトコル・ポートや TCP SYN/ACK フラグなどに基づいて許可または拒否を決定します。最も単純なファイアウォール形態であり、ルータ、OS カーネル(iptables、nftables、pf、Windows Filtering Platform)、クラウドの ACL などに実装されます。ステートレスに動作することも、ステートフルファイアウォールのデータプレーンとして動作することもあります。高速かつ低コストですが、アプリ層の文脈や暗号化されたペイロード、フラグメント重畳のような高度な回避手法を理解できないため、多層防御の一層として位置づけられます。
例
- iptables ルールで Linux サーバへの受信 TCP/23(Telnet)を全て破棄する。
- Cisco IOS ルータの ACL が WAN 側で RFC1918 送信元アドレスをブロックする。
関連用語
ファイアウォール
定義されたルールセットに基づき、受信および送信トラフィックを監視・制御し、信頼ネットワークと非信頼ネットワークを分離するネットワークセキュリティ機器またはソフトウェア。
ステートレスファイアウォール
接続状態を追跡せず、各パケットを静的ルールに基づいて個別に評価するファイアウォール。
ステートフルファイアウォール
アクティブな接続の状態をコネクションテーブルで追跡し、確立済みセッションと一致する戻りトラフィックを自動的に許可するファイアウォール。
ディープパケットインスペクション(DPI)
ヘッダだけでなくパケットのペイロード全体を検査し、アプリケーション・コンテンツ・脅威を識別する技術。
Network Segmentation
Network Segmentation — definition coming soon.
Network Address Translation (NAT)
Network Address Translation (NAT) — definition coming soon.