パケットフィルタリング

パケット フィルタリングとは、受信したパケットを検査し、通過させるか否かを判断することを意味します。一般にルータやファイアウォールがこの機能を実装しています。検査対象となるデータは、IPアドレスやポート番号といった、パケット ヘッダに含まれる情報です。不正アクセスされる可能性が高いポートへの通信を遮断する、安全性を確認できない送信元IPアドレスからのパケットをドロップする、といった設定を行うことによって、ある程度までセキュリティを確保できるようになります。

パケット フィルタリングは処理が単純であるため、高速に動作するというメリットがあります。しかしその一方で、これによるセキュリティ確保には限界があります。例えば、Webアプリケーションを狙った攻撃はポート番号80番にアクセスしますが、このポートを閉じるわけにはいきません。また攻撃元のIPアドレスを指定してパケットをドロップしようとしても、不特定多数の踏み台を使った攻撃には対応できません。

このような問題を解決するには、レイヤ7までカバーしたフル プロキシとして動作する、Webアプリケーション ファイアウォール（WAF）の活用が効果的です。F5の「F5 BIG-IP」は、パケットフィルタリングはもちろんのこと、WAF機能の提供も可能です。