ステートフルインスペクション
Stateful Inspection
すてーとふるいんすぺくしょん
通信のコネクション状態を追跡・管理し、正当な通信セッションに属するパケットのみを許可するファイアウォール技術。TCPの3ウェイハンドシェイクからコネクション終了までの状態を監視し、不正なパケットを検出・遮断する。
ネットワークセキュリティ > ファイアウォール
関連キーワードの用語
NWパケットフィルタリング
パケットのヘッダ情報(送信元/宛先IPアドレス、ポート番号、プロトコル等)に基づいて通過・遮断を判定するファイアウォールの基本的な方式。ACL(アクセス制御リスト)で許可・拒否のルールを定義する。処理が高速だが、パケットの内容は検査しない。
NW次世代ファイアウォール
従来のファイアウォール機能に加え、アプリケーション識別、ユーザ識別、脅威防御(IPS、アンチマルウェア)等の高度な機能を統合した装置。ポート番号に依存せずアプリケーションを識別し、きめ細かなアクセス制御を行う。
NWファイアウォールポリシー設計
ファイアウォールにおける通信許可・拒否のルールを体系的に設計する工程。デフォルトdeny(全遮断)を原則とし、必要な通信のみを明示的に許可するホワイトリスト方式が推奨される。ルールの順序、ログ取得、定期的な棚卸しも重要。
NWアプリケーションゲートウェイ
アプリケーション層のプロトコルを解析して通信を中継・制御するファイアウォールの方式。プロキシサーバとして動作し、パケットの内容を詳細に検査できる。セキュリティは高いが、プロトコルごとに対応が必要で処理負荷が大きい。
NWOSI参照モデル
ISOが策定した通信機能を7階層に分割したネットワークアーキテクチャモデル。物理層、データリンク層、ネットワーク層、トランスポート層、セッション層、プレゼンテーション層、アプリケーション層の7層から構成され、各層が独立した機能を持つことでプロトコルの設計や相互接続を容易にする。
NWPDU(プロトコルデータユニット)
各プロトコル層で扱うデータの単位。アプリケーション層ではメッセージ、トランスポート層ではセグメント(TCP)やデータグラム(UDP)、ネットワーク層ではパケット、データリンク層ではフレーム、物理層ではビットと呼ばれる。