ファイアウォールの種類② サーキットレベルゲートウェイ(トランスポートゲートウェイ)型 セグメントレベルのフィルタリングを行い、データを中継する #りくちゃAP
2015-01-27 09:49:40ファイアウォールの種類③ アプリケーションゲートウェイ型 アプリケーションプロトコルレベルのフィルタリングを行い、データを中継する #りくちゃAP
2015-01-27 09:50:34WAF(Web Application Firewall) Webアプリケーションのやり取りを監視し、アプリケーションレベルの不正なアクセスを阻止する。Webブラウザからの通信内容を検査し、不正と見なされたアクセスを遮断。(SQLインジェクションとか) #りくちゃAP
2015-01-27 09:55:02プロキシサーバ アプリケーションゲートウェイ型のファイアウォールのうち、httpを扱う。Webページの内容をキャッシュすることができる。 プロキシサーバを用いることでリクエストを中継し、セキュリティの向上が図れる #りくちゃAP
2015-01-27 09:57:20@riku_cha バックエンドのサーバに処理を振り分ける過程でキャッシュを使うかどうかとか設定出来るけどキャッシュする事がメインというとうーん…?
2015-01-27 10:01:55@riku_cha さっきの説明だと、ProxyはWEB(HTTP,THHPS、SMTP)あたりだけを中継するので、攻撃されても直接のIPには攻撃されないし必要ポートだけで全ポートが開いてるわけではないし、という意味じゃないかな。
2015-01-27 10:12:52プロキシサーバにおけるコネクション TCPコネクションとは、TCPによって確立された通信路のこと。 上位レイヤのプロトコルは、この通信路に対してデータを投入すれば、特に通信制御を考慮しなくても宛先ノードに到達する #りくちゃAP
2015-01-27 19:10:17んで、プロキシ経由でWebサーバにアクセスするときのTCPコネクションはこんな感じ。 ① 送信元IP:クライアント 宛先IP:プロキシ ② 送信元:プロキシ 宛先:Webサーバ #りくちゃAP
2015-01-27 19:13:46トランスポートモード 通信を行う端末が、直接データの暗号化を行う。ただし、パケットのヘッダを除いた部分(ペイロードという)のみの暗号化なので、IPアドレスは暗号化されない。つまり宛先の盗聴が可能。 #りくちゃAP
2015-01-27 19:16:54トンネルモード VPNゲートウェイというものを拠点に置き、その間の通信を暗号化するもの。送信側でIPsecでIPパケットを暗号化(カプセル化)して、受信側のゲートウェイ宛のIPヘッダを新たにつけ、拠点間通信を行う。 受信側は復号化して、真の宛先に送信。 #りくちゃAP
2015-01-27 19:19:21IPsecはネットワーク層のプロトコル。目的に応じてESP(暗号化、認証、改竄検出を行う)とAH(ESPから暗号化に関する規定を削除し、認証と改竄検出に特化)のいずれかのフレーム構造を選ぶ。 相手ノードと鍵交換を行うためにIKEというプロトコルを使用する #りくちゃAP
2015-01-27 19:22:53パリティチェック 先頭ビットに誤り検出用のパリティビットを付加してデータの整合性を検査。 1の数が偶数になるようにパリティを挿入 →偶数パリティ 1の数が奇数になるようにパリティを挿入 →奇数パリティ #りくちゃAP
2015-01-29 19:03:56CRC=巡回冗長検査 →送信するデータに生成多項式を適用して誤り検出用の冗長データを作成、これをつけてデータ送信。 複雑な演算を行うことでバースト誤りを検出できる。 #りくちゃAP
2015-01-29 19:06:38ハミング符号 →情報ビットに対して検査ビットを付加することで、2ビットまでの誤り検出と、1ビットの誤り自動訂正機能を持つ。 #りくちゃAP
2015-01-29 19:07:53同期制御 キャラクタ同期方式 →送信側が送信データの最初にSYNコードを2個以上続けて送信する方式。 ただし、SYNコードと同じパターンはデータとして送信できずら8ビット長のデータ送信にしか対応していないという欠点がある #りくちゃAP
2015-01-29 19:11:14調歩同期方式=非同期方式 固定長ブロックの前後にスタートビットとストップビットを付加して送信する。 1文字ごとに2ビットの情報を付加する必要があるため、オーバーヘッドが大きくなりやすい。 #りくちゃAP
2015-01-29 19:23:23