Network Security
パケット・フィルタ
Security Issues
光ファイバーケーブルは盗聴されないので、他のケーブルに比べ、セキュリティに優れている。
ファイアーウォール・デザイン
1.パッケトフィルタ・ルータ -
ペリメータールータ(インターネットへ接続しているルータ。フロントドアとも言う)がACLを使って、送信元/宛先のネットワークアドレスや送信元/宛先のポート番号、プロトコルタイプなどの要素でパケットをフィルタする。拡張アクセスリストは送信元の近くで使い、標準アクセスリストは宛先の近くで使う。内部ネットワークとDMZの境界ルータをチョークルータと呼ぶ。ペリメータールータには以下の注意事項がある。
2.アプリケーション・プロキシ - UNIX/WIndows
serverがアプリケーションサービスをクライアントに代行する。レイヤ7まで調べる、監査ログを取れる、などの長所がある。短所は低速度、高遅延である。
3.ステートフル・フィルタ -
レイヤ4で動作。アプリケーション・プロキシの代わりになる手法。Cisco
PIX Firewallがこれに当たる。高速度、高セキュリティ。接続をメモリのステート・テーブル内に覚えておく。
Cisco ファイアーウォール・ソリューション
Content-Based Access Control (CBAC) - Cisco IOSのセキュリティ機能拡張。第3、第4、第7層を扱う。Cisco1600/2500シリーズルータがサポートする。
IP Sec プロトコル - Cisco 1600/2x00/36x0/4x00/5x00/7x00 シリーズでサポート
ハッシュアルゴリズム - MD5(128bit)とSHA(160bit)がある。
VPN トンネリング・プロトコル
Key Excahnge Mechanism - Diffle-HellmanとOakleyの2種類がある。
参照:Cisco CID Exam Certification Guide(CiscoPress)/CCDA実践ガイドブック(ソフトバンク)