ブロードバンドルータには、家庭内LANのセキュリティを維持するために、パケットフィルタリング機能が備わっています。
ブロードバンドルータを利用している場合、、ブロードバンドルータのアドレス変換(NAPT)機能により、外部からの一方的な通信がLAN側へ転送されることはありません。
それだけでもセキュリティ対策となりますが、パケットフィルタリング機能と組み合わせることで、家庭内LANをより安全な状態に保つことができます。
ブロードバンドルータのパケットフィルタリング機能について簡単に説明します。
パケットフィルタリングの「パケット」とは、IPなどで使用される、適切なサイズに分割されたデータのことです。
IP:Internet Protocol TCP/IPなどで使われる現在主流のネットワーク層プロトコル
このパケットを、定められたルールに従って、通過させたり、遮断したりすることを「パケットフィルタリング」と呼びます。
フィルタリングのルールで使用される主な情報には、以下のようなものがあります。
○ パケットの通信方向(LAN→WAN/WAN→LAN)
○ IPアドレス(送信元・あて先)
○ プロトコルの種類(TCP/UDP/etc.)
○ ポート番号(送信元・あて先)
これらの情報について、定められたルールと通信データの照合を行い、通過の可否が決定されます。
一般的なブロードバンドルータは、特別な設定をしなくても、家庭内LANのセキュリティを維持するような、パケットフィルタリングを行うようになっています。
ブロードバンドルータのパケットフィルタリングは、基本的に以下のようなポリシーになっています。
○ 通信方向がLAN→WANのパケット:全て許可
○ 通信方向がWAN→LANのパケット:全て遮断
しかし、このままでは、LAN側から送信されたパケットに対する、WAN側からの返信パケットも遮断されてしまいます。
返信パケットの通信方向は、WAN→LANとなるため、通過が拒否されるからです。
このままでは、インターネット側からのデータを受け取ることができません。
そこで、ブロードバンドルータは、LAN側から送信されたパケットへの返信パケットのみが通過できるように、自動的にフィルタリングルールを更新します。
LAN側から始まった通信が終了するまで、更新されたルールは維持されるので、返信パケットが遮断されることはありません。
通信が終了すると、追加されたルールは自動的に削除され、元の状態に戻ります。
このように、通信状態に合わせて自動的にフィルタリングが行われる仕組みを、ダイナミック(動的)フィルタリングといいます。
WAN→LANのパケットは、LAN側からの通信に対する返信パケットのみが通過できることになり、WAN側からの一方的な通信(不正なアクセス)は遮断されるので、家庭内LANのセキュリティを維持することができます。
ブロードバンドルータが備えるフィルタリング機能には、上記のダイナミックフィルタリングを発展させ、より詳細な通信制御を行う、「SPI(ステートフル・パケット・インスペクション)」と呼ばれるものもあります。
これらの機能は、ブロードバンドルータに標準で備わっており、特別な設定をしなくても自動的に実行されます。
以上で、ブロードバンドルータのパケットフィルタリング機能に関する説明は終わりです。
ブロードバンドルータは、家庭内LANのセキュリティ維持に大きく貢献してくれます。