1-1 フローマスク
MLS-SEがキャッシュする条件を指定するのがフローマスク。
フローマスクは、MLS-RPでどのレベルのアクセスリストが設定されるかによって変化する。
フローマスクには以下の3種類がある。
●あて先IP(Destination-IP)・・・・ACLなしの時使用
●送信元−あて先IP(Source-Destination-IP)・・・・標準ACLで使用
●IPフロー(IP-Flow)・・・・拡張ACLで使用
1-2 フローマスクの種類
MLS-SEがキャッシュする条件を指定するのがフローマスク。
フローマスクは、MLS-RPでどのレベルのアクセスリストが設定されるかによって変化する。
●【あて先IP(Destination-IP)】
これは、キャッシュする
デフォルトのマスクであり、フィルターの度合いは最も低くなる。MLSを構成している状態で
、MLS-RPでパケットフィルタリングのアクセスリストが一切設定されていない状態ならば、
あて先のみがキャッシュされ、エントリが作成される。
このマスクは、
出力ACLが使用されていない場合に使用される。
上の図の場合、PC1からサーバーAに向けてトラフィックが流れたことで、
「あて先:サーバーA」という条件のキャッシュが
作成された。
このキャッシュが出来上がったあとで、
PC2からサーバーAに向けたトラフィックがきたら、
MLS-SEはこれをMLS-RPには渡さずに、スイッチングしてしまう。
PC1⇒サーバーAは許可
PC2⇒サーバーAは拒否
という要件があった場合、これでは要件を満たせない。
● 【送信元−あて先IP(Source-Destination-IP)】
スイッチは、送信元/あて先IPアドレスをペアごとに
エントリーを保持する。送信元/あて先IPアドレスに一致するトラフィックは全て、このフローに従ってスイッチングされる。
このマスクは、
標準ACLが出力インターフェイス上で使用されている場合に使用される。
上記の図で、MLS-RPに
PC1⇒サーバーAは許可
PC2⇒サーバーAは拒否
という要件のアクセスリストを設定する。
「標準アクセスリスト」
が設定されると、
MLS-RPがMLSPを使って、セキュリティ要件が変化したことを伝え、
その結果、フローマスクが「送信元−あて先IP
(Source-Destination-IP)」に変更され、上の図の様にキャッシュが変化し、「あて先:サーバーA 発信元:PC1」
となる。
●【IPフロー(IP-Flow)】
このマスクは、
特定の送信元/あて先IPアドレスに加え、特定の送信元/あて先ポートをもつフローを作成する。
例えば、
HTTPとtelnet等の、クライアントから単一のサーバーへの2つの異なるプロセスは、
ポート番号が異なるため、2つの異なるマスクを作成する。
このマスクは、
出力ACLが拡張されている場合に使用される。