« OCIとAWSのネットワークの構成要素を比較する | メイン | OCI IAMによる権限制御の概観 »

OCIセキュリティリストのステートフルルールとステートレスルール

渡部です。これは、(全部俺) Oracle Cloud Infrastructure Advent Calendar 2018の9日目のエントリです。

8日目のエントリでも触れましたが、OCIのファイアウォール機能はステートフルとステートレスの両方に対応しています。 このステートフルとステートレスの概念はクラウド特有のものではなく、ファイアウォール機能一般の概念なのですが、あまり見通しのよい説明が世の中にないようであるため、ここでふれておきたいと思います。

1209_seclist01.png

ファイアウォールのステートフルルールとは

1209_seclist02.png

  • ステートフルルールは、ルールが許可する方向に設定されたコネクション内の通信を許可するルールです。
  • コネクション内ではコネクションの方向と同じ方向のパケット(行き方向のパケット)と、逆の方向のパケット(戻り方向のパケット)が送受信されるが、ステートフルルールでは、これら両方を許可します。
  • 戻り方向のパケットを許可するルールを設定する必要がなく使いやすいため、一般にステートフルルールが使用されるケースが多い

ファイアウォールのステートレスルールとは

1209_seclist03.png

  • ステートレスルールは、単純に指定した向きのパケット通信を許可するルールです。(コネクションは一切意識しません)
  • 戻り方向のパケットは自動的に許可されません。そもそも、コネクションという概念がないため、(コネクション内の)戻り方向のパケットという概念もありません。
  • 通常の通信プロトコルでは行きパケットと戻りパケットが行き来することで処理が進むため、行きパケットのみ通信許可されても処理が機能しません。戻りパケットも通信許可する必要があります。
  • ステートレスルールは使いにくいため、ステートフルルールで特段の問題がない限り、ステートフルルールを使用すべきです。

About

2018年12月 9日 19:00に投稿されたエントリーのページです。

ひとつ前の投稿は「OCIとAWSのネットワークの構成要素を比較する」です。

次の投稿は「OCI IAMによる権限制御の概観」です。

他にも多くのエントリーがあります。メインページアーカイブページも見てください。