インバウンドトラフィックとファイアウォールについて少し不明瞭です。
最初の仮定は、ファイアウォール(ホームルーターなど)がすべての着信ポートをブロックする必要があることです。すべての着信ポートをブロックしないと、インターネット上のハッカーがネットワーク上のデバイスにパケットを送信できますか?
しかし、すべての着信ポートがブロックされている場合、トラフィックはどのように到着しますか?
たとえば、私が理解したように、ブラウザはWebサーバーへの接続を確立します。つまり、Webサーバーのポート80と通信し、ブラウザ/クライアントからランダムに割り当てられたポート番号(ポート30222など)を使用します。ブラウザはページを要求し、WebサーバーはそれをクライアントのIPアドレス/ポート30222に返します。
Webサーバーがポート30222にデータを送信できる場合、任意のハッカーがポート30222にデータを送信できないのはなぜですか?
ファイアウォールはこれをどのように見ますか?すべてのインバウンド接続を許可するように構成する必要がありますか?
私が知る限り、ステートフルファイアウォールはクライアントからの接続要求を調べることができるので、クライアント/ポート - >サーバー/ポートの組み合わせでオプションでトラフィックを許可できます。この場合、ホームルータがすべてのインバウンドファイアウォールポートをブロックできることがわかります。ホームルータは、許可されたトラフィックが内部で接続を開始するデバイス間でのみ行われることを保証できるからです。この場合ではありません。任意のハッカーが内部ネットワークのデバイスにパケットを送信します。
しかし、すべてのファイアウォールが状態を保存するわけではないと思います。そうですか?状態 非保存ファイアウォールはどうですか?すべての着信トラフィックを許可する必要がありますか?
したがって、ホームファイアウォールがすべてのインバウンドポートをブロックする必要があるかどうかは不明です。すべてのインバウンドポートをブロックする場合ステートフルパケットチェックファイアウォールではない場合、データはどのように入りますか?
ベストアンサー1
「ファイアウォール」という用語は緩く定義されています。あなたの質問に対する私の答えは、すべてのファイアウォールが状態を保存しているわけではないということです。ただし、ステートレスファイアウォールの種類を説明するために、「パケットフィルタリングファイアウォール」という用語を使用することもできます。ステートレスファイアウォールを使用すると、まだ多くの保護が得られますが、ステートフルファイアウォールほどではありません。
たとえば、ステートレスファイアウォールにすべてのパケットをインターネットに送信するように指示できます(たとえば、WebブラウザパケットがWebサーバーに送信されます)。ただし、確立された接続の一部であると思われる場合にのみ受信パケットを許可するように構成されます。そのためにTCP / IPがどのように機能するかを詳しく見てみましょう。 TCPパケットには、パケットが発信パケットか応答パケットかを示すいくつかのフラグ(SYN、SYN + ACK、ACK(検索したい場合))があります。ステートレスファイアウォールは、応答パケットのみをクライアントブラウザに返すことを許可します。インターネット上の悪意のある行為者が単に応答のように見える(つまり、応答フラグが設定されている)パケットをクライアントに送り返すことはできますか?はい。ただし、クライアントがパケットフィルタリングファイアウォールを通過しても接続を受け入れる可能性はほとんどありません。これは非常に基本的な答えであり、多くの詳細とシナリオをスキップしましたが、必要なレベルの詳細を提供できることを願っています。
上記の文脈において、ファイアウォールが追跡する対象を説明するために、「状態保存」および「状態非保存」という用語を使用する。ステートフルとは、ブラウザの最初のパケットがファイアウォールに到達すると、ファイアウォールがWeb接続が有効になっていることを確認し、Webサーバーからの応答パケットを待つことを意味します。接続中に情報を追跡します。 「状態非保存」シナリオでは、ファイアウォールは通過する各パケットを評価しますが、その間には何も追跡しません。 TCP / IP接続には、ファイアウォールが追跡されているかどうかに関係なく、内部的に「ステータス」情報(フラグなど)があります。