ファイアウォールルールは設計から生成する – 定数、検証、変更管理 作者: si62512548投稿日: 2026年7月15日カテゴリー: ネットワークセキュリティタグ: IaC, IPv4, IPv6, NIST SP 800-41, ネットワークセキュリティ, ファイアウォール, ファイアウォール設計, ポリシー管理, 変更管理, 構成ドリフトファイアウォールルールは設計から生成する – 定数、検証、変更管理 へのコメントはまだありません ファイアウォールルールを装置設定から直接編集せず、設計ポリシー、論理ルール、装置設定へ分離し、検証、差分、適用、ドリフト検出まで管理します。
すべてを境界ファイアウォールで防がない – 破棄条件を配置する場所 作者: si62512548投稿日: 2026年7月15日カテゴリー: ネットワークセキュリティタグ: API ゲートウェイ, CoPP, IPv6, Kubernetes, NetworkPolicy, RFC 6192, RTBH, SAVI, WAF, ゼロトラスト, ネットワークセキュリティ, ファイアウォールすべてを境界ファイアウォールで防がない – 破棄条件を配置する場所 へのコメントはまだありません ファイアウォール設計では、何を破棄するかだけでなく、どこで破棄するかを決めます。アクセスネットワーク、ルーター、境界 FW、WAF、API、アプリケーションの役割を整理します。
正常なパケットは、どこから攻撃になるのか – 通信量と資源から考えるファイアウォール設計 作者: si62512548投稿日: 2026年7月15日カテゴリー: ネットワークセキュリティタグ: CoPP, DDoS, IPv6, QUIC, RFC 4987, RFC 6192, RTBH, SYN Cookie, SYN フラッド, ネットワークセキュリティ, ファイアウォール, レート制限正常なパケットは、どこから攻撃になるのか – 通信量と資源から考えるファイアウォール設計 へのコメントはまだありません 正常な SYN、UDP、ICMP でも、量、継続時間、分散数、処理コストによって攻撃になります。帯域、pps、cps、セッション、NAT、ログ、バックエンドを分けて設計します。
ICMP は許可か拒否かでは設計できない – IPv4 / IPv6 制御通信の成立条件 作者: si62512548投稿日: 2026年7月15日カテゴリー: ネットワークセキュリティタグ: ICMP, ICMPv6, IPv6, NDP, Neighbor Discovery, Path MTU Discovery, RFC 4890, RFC 8201, Router Advertisement, ネットワークセキュリティ, ファイアウォールICMP は許可か拒否かでは設計できない – IPv4 / IPv6 制御通信の成立条件 へのコメントはまだありません ICMP と ICMPv6 を一律に許可・拒否せず、Type、Code、方向、受信インターフェース、アドレススコープ、Hop Limit、元フローとの関連から設計します。
開いているポートでも通してはいけない – 接続状態とパケット構造の検証 作者: si62512548投稿日: 2026年7月15日カテゴリー: ネットワークセキュリティタグ: ICMP, IPv6, IPv6 拡張ヘッダー, Netfilter, RFC 9288, RFC 9293, TCP, UDP, ステートフルファイアウォール, ネットワークセキュリティ, ファイアウォール, フラグメント開いているポートでも通してはいけない – 接続状態とパケット構造の検証 へのコメントはまだありません ファイアウォールでポートを許可していても、TCP 状態遷移、UDP タイムアウト、ICMP エラー、フラグメント、IPv6 拡張ヘッダーを検証しなければ安全とはいえません。
送信元 IP だけでは不正と判断できない – 経路とトポロジーから破棄条件を考える 作者: si62512548投稿日: 2026年7月15日カテゴリー: ネットワークセキュリティタグ: BCP 38, Egress Filtering, Ingress Filtering, IPv4, IPv6, RFC 2827, RFC 8704, uRPF, ネットワークセキュリティ, ファイアウォール, 送信元検証送信元 IP だけでは不正と判断できない – 経路とトポロジーから破棄条件を考える へのコメントはまだありません 送信元 IP アドレスの妥当性を、固定的な拒否リストではなく、受信インターフェース、経路、ゾーン、スコープとの組み合わせから整理します。
ファイアウォール設計はポート番号から始めない – 正常な通信の条件から破棄対象を逆算する 作者: si62512548投稿日: 2026年7月15日カテゴリー: ネットワークセキュリティタグ: DDoS, ICMP, ICMPv6, IPv6, RFC 3704, RFC 4890, uRPF, ステートフルファイアウォール, ネットワークセキュリティ, ファイアウォールファイアウォール設計はポート番号から始めない – 正常な通信の条件から破棄対象を逆算する へのコメントはまだありません ファイアウォール設計をポート許可表から始めず、接続状態、パケット構造、アドレス、経路、ICMP、通信量、制御点から正常な通信の条件を整理します。
eBGP と iBGP の違いとは – Route Reflector が必要になる理由 作者: si62512548投稿日: 2026年7月15日カテゴリー: ルーティングタグ: AS_PATH, BGP, CLUSTER_LIST, eBGP, iBGP, ORIGINATOR_ID, RFC 4456, Route ReflectoreBGP と iBGP の違いとは – Route Reflector が必要になる理由 へのコメントはまだありません eBGP と iBGP の違い、iBGP フルメッシュが必要になる理由、Route Reflector の反射ルール、ORIGINATOR_ID、CLUSTER_LIST、冗長化設計を整理します。
Xen は NFV 基盤に使えるのか – 機能より製品認定が問題になる 作者: si62512548投稿日: 2026年7月14日カテゴリー: 仮想化タグ: Citrix XenServer, CPU ピニング, HugePages, KVM, NFV, NUMA, SR-IOV, VNF, XCP-ng, XenXen は NFV 基盤に使えるのか – 機能より製品認定が問題になる へのコメントはまだありません Xen が NFV 基盤として使えるかを、SR-IOV、CPU ピニング、HugePage、NUMA 配置などの機能と、商用 VNF の製品認定・サポート範囲の違いから整理します。
ThousandEyes を導入する前に整理しておきたいこと – エージェント、テスト、コスト体系 作者: si62512548投稿日: 2026年7月13日カテゴリー: 監視タグ: BGP, Cisco, Cloud Agent, Endpoint Agent, Enterprise Agent, SaaS, ThousandEyes, ネットワーク監視, 可観測性, 監視設計ThousandEyes を導入する前に整理しておきたいこと – エージェント、テスト、コスト体系 へのコメントはまだありません ThousandEyes を導入する前に、Cloud Agent、Enterprise Agent、Endpoint Agent の観測地点、テスト種別、BGP 監視、ユニットとライセンスの考え方を整理します。