2回ほど読む。各章は、
- 第1章 物理設計
- 第2章 論理設計
- 第3章 セキュリティ設計・負荷分散設計
- 第4章 高可用性設計
- 第5章 管理設計
と構成され設計を軸に書かれている。 上記のように全体の章について一通り書いたが、 以下所感は第3章のごく一部分の話となる。 第3章のステートフルインスペクションの話で、コネクションテーブルをもとに行われているのがfortigateで言うポリシーを指していると、fortigateを触ったことがあると分かると思う。ポリシーは通信制御機能といい、Firewallのステートフルインスペクションと、ルータ・L3スイッチでできるパケットフィルタリングに大別されると本書により分かった。以前どこかの講義でCISCOのアクセスリストについて聞いた際、fortigateのポリシーと同じようなものかと私は思っていたが、コネクションとパケットベースで考えていくと、それは同じものではないと理解できた。
他にはfortigateは戻りの通信は書かなくて良いと以前業務で聞かされていたが、これはベース、処理方法の違いに起因するからだと分かった。ステートフルインスペクションは戻りの通信を動的に処理してくれるが、パケットフィルタリングはそのようなことはしない。戻り用の通信ルールをパケットベースで許可することはセキュリティリスクになり得るらしい。httpでクライアントに対する送信元ポート番号はデフォルトで「80」1つだが、宛先ポートはOSがランダムに選ぶ「1024~65535」となる。パケットフィルタリングではこの宛先ポート番号を幅広く許可しなければならず、この状態でサーバを乗っ取られると攻撃者に好きにやられてしまうそうだ。
セキュリティ、ステートフルインスペクションについての感想を上述したが。機会があれば他の項目、例えば論理設計を読んだ感想についても述べてみたい。