手当たり次第に書くんだ

飽きっぽいのは本能

最近よく聞く「ドパガキ」とは?意味と広がった背景を整理する

ドパガキというインターネットスラングの意味、使われ方、広がった背景、ドーパミン中毒という表現の注意点を整理します。

Kubernetes の CNI は何を選ぶべきか – 設計思想と製品制約から現代的な選択肢を整理する

Kubernetes の CNI 選定を、機能一覧ではなく、製品サポート、ネットワークモデル、運用責任、Multus や SR-IOV を含む追加ネットワークの観点から整理します。

ファイアウォールルールは設計から生成する – 定数、検証、変更管理

ファイアウォールルールを装置設定から直接編集せず、設計ポリシー、論理ルール、装置設定へ分離し、検証、差分、適用、ドリフト検出まで管理します。

すべてを境界ファイアウォールで防がない – 破棄条件を配置する場所

ファイアウォール設計では、何を破棄するかだけでなく、どこで破棄するかを決めます。アクセスネットワーク、ルーター、境界 FW、WAF、API、アプリケーションの役割を整理します。

正常なパケットは、どこから攻撃になるのか – 通信量と資源から考えるファイアウォール設計

正常な SYN、UDP、ICMP でも、量、継続時間、分散数、処理コストによって攻撃になります。帯域、pps、cps、セッション、NAT、ログ、バックエンドを分けて設計します。

ICMP は許可か拒否かでは設計できない – IPv4 / IPv6 制御通信の成立条件

ICMP と ICMPv6 を一律に許可・拒否せず、Type、Code、方向、受信インターフェース、アドレススコープ、Hop Limit、元フローとの関連から設計します。

開いているポートでも通してはいけない – 接続状態とパケット構造の検証

ファイアウォールでポートを許可していても、TCP 状態遷移、UDP タイムアウト、ICMP エラー、フラグメント、IPv6 拡張ヘッダーを検証しなければ安全とはいえません。

送信元 IP だけでは不正と判断できない – 経路とトポロジーから破棄条件を考える

送信元 IP アドレスの妥当性を、固定的な拒否リストではなく、受信インターフェース、経路、ゾーン、スコープとの組み合わせから整理します。

ファイアウォール設計はポート番号から始めない – 正常な通信の条件から破棄対象を逆算する

ファイアウォール設計をポート許可表から始めず、接続状態、パケット構造、アドレス、経路、ICMP、通信量、制御点から正常な通信の条件を整理します。

eBGP と iBGP の違いとは – Route Reflector が必要になる理由

eBGP と iBGP の違い、iBGP フルメッシュが必要になる理由、Route Reflector の反射ルール、ORIGINATOR_ID、CLUSTER_LIST、冗長化設計を整理します。

トップへ戻る