OSIモデル
開放型システム間相互接続(OSI)モデルは、ネットワークトラフィックの構造に関する概念モデルです。 OSIモデルの7つのレイヤーには、次のものが含まれます。
- 物理レイヤー: 電子や光などを介して物理媒体上でデータを移動します。
- データリンク層: ノード間でデータを転送し、物理メディアとエラー訂正を管理します。 イーサネットはレイヤー 2 プロトコルです。
- ネットワーク レイヤー: ネットワーク間でデータを移動するためのネットワーク アドレス指定とルーティングを管理します。 IPはレイヤー3プロトコルです。
- トランスポート層: TCPやUDPなどのプロトコルを使用してシステム間でデータを送信し、エラー修正を提供する場合があります。
- セッションレイヤー: 2 台のコンピューター間の接続とセッションを管理します。
- プレゼンテーションレイヤー: データの暗号化、圧縮、およびフォーマットを実行して、ネットワークとアプリケーション間でデータが適切に変換されるようにします。
- アプリケーションレイヤー: エンドユーザーソフトウェアアプリケーションがネットワーク経由でデータを送受信できるようにします。
レイヤー 7 の重要性
レイヤー 7 は OSI モデルの最上位レイヤーであり、ユーザーと直接対話するアプリケーションを扱います。
OSI モデルの下位のアプリケーション レベルは、データが必要な場所に確実に到達し、適切にフォーマットされるようにすることに関係しています。 レイヤー 7 は、ユーザーと対話するアプリケーションが動作する場所です。 たとえば、Webを閲覧するとき、ユーザーはHTTPS Webプロトコルを使用してリモートWebサーバーと通信します。
HTTPS はレイヤー 7 プロトコルであり、そのトラフィックは次のような下位レイヤー プロトコルにカプセル化されます。
これらのプロトコルは、データがクライアント コンピューター上の特定のアプリケーションからサーバー上の特定のアプリケーションに送信されるようにする役割を果たしますが、HTTPS は Web 閲覧セッションを機能させる実際のデータを伝送します。
レイヤー 7 でのロード バランシング
組織は、OSI モデルのレイヤー 7 でロード バランシングを実装することを選択できます。 つまり、1 つのアプリケーションの正当なトラフィックが複数の異なるサーバーに分散され、過負荷にならないようにします。
したがって、ロード・バランシングにより、アプリケーション全体のパフォーマンスが向上します。 ユーザーの視点から見ると、レイヤー7ロードバランサーの背後にあるすべてのサーバーは、公開されるIPアドレスとポート番号が同じであるため、区別がつきません。 ただし、ロードバランサーは、使用率に基づいてトラフィックをサーバーにルーティングできます。
さらに、ロードバランサーは、リクエストに含まれるCookieまたはその他の情報を使用して、同じセッションからのトラフィックが同じサーバーに送信されるようにし、キャッシングとサービスの最適化を可能にする場合があります。
ロードバランシングは、OSIモデルのトランスポートレイヤーであるレイヤー4でも実行できます。 この場合、異なるアップストリーム サーバーが異なる TCP/UDP ポートを使用するため、ロード バランサーは、実際の内容を検査することなく、同じセッションから同じサーバーにトラフィックをすばやく送信できます。 ただし、このアプローチでは、各バックエンド サーバーに送信されるセッションに対する詳細な制御が少なくなります。
DDoS 攻撃からの保護
レイヤー 7 は、分散型サービス妨害攻撃 (DDoS) 攻撃のコンテキストにも関連します。 DDoS アプリケーション層攻撃では、攻撃者が制御するボットネットが、ユーザーや顧客がターゲット サービスを利用できなくしようとします。 DDoS 攻撃は、OSI モデルの複数の異なるレイヤーで発生する可能性があります。 1 つのアプローチは、膨大な量のリクエストでシステムを圧倒しようとすることです。
これらの攻撃は、OSI モデルのレイヤー 3 (ネットワーク) とレイヤー 4 (トランスポート) で動作します。 たとえば、SYN フラッド攻撃では、サーバーが一度に開いたままにしておく TCP セッションの数が使い果たされます。
SYNフラッド
SYNフラッドは、接続リクエストでサーバーを圧倒し、正当な顧客がサーバーを利用できなくなるDDoS攻撃の一種です。
- 通常、クライアントは SYN (同期) メッセージをサーバーに送信して、サーバーへの接続を要求します。
- サーバーは、SYN-ACK メッセージをクライアントに送り返すことで、この要求を確認します。
- その後、クライアントは通常、ACK(確認応答)で応答し、接続が確立されます。
ただし、SYNフラッド攻撃の場合、DDoS攻撃者はサーバーにSYNリクエストを大量に送信しますが、サーバーから送信されたSYN-ACKメッセージに対しては意図的に最終的なACKで応答しません。 その結果、サーバーは、クライアントから到着しない大量の ACK 応答を待機して立ち往生します。
このプロセスは、サーバーの限られたコンピューティングリソースを圧倒し、大量のハーフオープン接続を管理しようとして拘束されます。 これが、SYNフラッド攻撃が「ハーフオープン攻撃」とも呼ばれる理由です。
レイヤー 7 DDoS 攻撃
レイヤー7 DDoS攻撃は、特定のアプリケーションやサービスの脆弱性やボトルネックを悪用するように設計されています。 たとえば、HTTPフラッド攻撃は、Webサーバーが処理できるよりも多くのHTTPリクエストを送信しようとします。 これは、処理できる同時 TCP セッションの数よりも大幅に少ない可能性があり、これは、より効率的な攻撃となります。
さまざまな種類のDDoS攻撃を、さまざまなOSIレイヤーで処理する必要があります。 多くのアプリケーション ファイアウォール はレイヤー 3/4 攻撃を処理できますが、レイヤー 7 攻撃から保護するには、アプリケーションレイヤー データを検査して理解するレイヤー 7 ファイアウォールが必要です。
チェック・ポイントのソリューションとOSIモデル
企業は、OSIモデルの複数の異なるレイヤーで動作するサイバー攻撃を受ける可能性があります。 たとえば、DDOS 攻撃はレイヤー 3、4、または 7 で実行できます。 これらのタイプの攻撃はそれぞれ異なる動作をするため、レイヤー 3 とレイヤー 4 でのみ保護を提供する ネットワーク セキュリティ ソリューションは、レイヤー 7 で発生する攻撃に対して目をつぶることになります。
チェック・ポイント の次世代ファイアウォール(NGFW)は、 ネットワーク・パケット・ペイロードを検査して理解する機能など、OSIモデルの複数のレイヤーで保護を提供し、アプリケーション・レイヤーの保護を提供します。 チェック・ポイント Quantum Force NGFWsが提供するレイヤー7保護の詳細については 、無料のデモにサインアップしてご覧ください。
フィードバック