IP パケット・フィルター・ファイアウォール

IP パケット・フィルター・ファイアウォールにより、ネットワーク接続を介したトラフィックを廃棄または受諾する一連の規則を作成できる方法を習得します。

IP パケット・フィルター・ファイアウォールにより、ネットワーク接続を介したトラフィックを廃棄または受諾する一連のルールを作成できます。ファイアウォール自体が、このトラフィックに影響を与えることはまったくありません。パケット・フィルターは、そのパケット・フィルターに送信されるトラフィックのみを廃棄できるので、パケット・フィルターを使用するデバイスは、IP 経路指定を実行するか、トラフィックの宛先である必要があります。

パケット・フィルターには、受諾または拒否のアクションを伴う一連のルールがあります。パケット・フィルターが情報のパケットを受信すると、フィルターはそのパケットを事前構成ルール・セットと比較します。最初の突き合わせで、パケット・フィルターは、情報のパケットを受諾するか、拒否します。大半のパケット・フィルターには、ルール・ファイルの基本として暗黙的に「すべて拒否ルール」があります。

すべてのパケット・フィルターに共通する条件は、「信頼は IP アドレスに基づく」です。 このセキュリティー・タイプはネットワーク全体に対しては十分ではありませんが、このタイプのセキュリティーはコンポーネント・レベルでは受け入れ可能です。

大半の IP パケット・フィルターはステートレスであるため、以前に処理したパケットについては記憶しません。状態を保持するパケット・フィルターは、以前のトラフィックに関する一部の情報を保持できるため、インターネットで内部ネットワークからの要求に対する応答のみが許可されるように構成できます。パケットのヘッダーにある送信元 IP アドレスおよび ACK ビットは簡単に偽造できるので、ステートレス・パケット・フィルターはスプーフィングに対してぜい弱です。

i5/OS^® では、インターフェースおよびリモート・アクセス・サービス・プロファイルでパケット・フィルター・ルールを指定することができます。i5/OS で外部のパケット・フィルター・ファイアウォールまたはパケット・フィルター・ルールを使用し、ユニバーサル・コネクション・データがこれらのフィルターをパススルーする場合、次のようにして IBM^® VPN ゲートウェイへの接続を許可するためにフィルター・ルールを変更する必要があります。

フィルター・ルールを変更する際には、実際の IBM VPN ゲートウェイ・アドレスを指定します。ポートおよびサービスは次の IP に対して開かれている必要があります。Boulder: 207.25.252.196 および Rochester: 129.42.160.16。詳しくは、iSeries™ Information Center の Determine the IBM VPN Gateway addresses を参照してください。

また、HTTP トラフィックの場合、フィルター・ルールの変更の一環として、実際のサービス宛先アドレスの指定が含まれることがあります。 これらのアドレスは、iSeries Information Center の Determine the IBM Service Destination addresses に記載されたとおり判別可能です。