株式会社コーソル

コーソルDatabaseエンジニアのブログ

技術ブログ

OCIセキュリティリストのステートフルルールとステートレスルール

渡部です。これは、(全部俺) Oracle Cloud Infrastructure Advent Calendar 2018の9日目のエントリです。

8日目のエントリでも触れましたが、OCIのファイアウォール機能はステートフルとステートレスの両方に対応しています。 このステートフルとステートレスの概念はクラウド特有のものではなく、ファイアウォール機能一般の概念なのですが、あまり見通しのよい説明が世の中にないようであるため、ここでふれておきたいと思います。

1209_seclist01.png

ファイアウォールのステートフルルールとは

1209_seclist02.png
  • ステートフルルールは、ルールが許可する方向に設定されたコネクション内の通信を許可するルールです。
  • コネクション内ではコネクションの方向と同じ方向のパケット(行き方向のパケット)と、逆の方向のパケット(戻り方向のパケット)が送受信されるが、ステートフルルールでは、これら両方を許可します。
  • 戻り方向のパケットを許可するルールを設定する必要がなく使いやすいため、一般にステートフルルールが使用されるケースが多い

ファイアウォールのステートレスルールとは

1209_seclist03.png
  • ステートレスルールは、単純に指定した向きのパケット通信を許可するルールです。(コネクションは一切意識しません)
  • 戻り方向のパケットは自動的に許可されません。そもそも、コネクションという概念がないため、(コネクション内の)戻り方向のパケットという概念もありません。
  • 通常の通信プロトコルでは行きパケットと戻りパケットが行き来することで処理が進むため、行きパケットのみ通信許可されても処理が機能しません。戻りパケットも通信許可する必要があります。
  • ステートレスルールは使いにくいため、ステートフルルールで特段の問題がない限り、ステートフルルールを使用すべきです。

関連記事

プロフィール

On7tWW6m1Ul4

渡部 亮太

・Oracle ACE
・AWS Certified Solutions Architect - Associate
・ORACLE MASTER Platinum Oracle Database 11g, 12c 他多数

カテゴリー

アーカイブ

一覧へ戻る