FreeBSD Daily Topics

2011年6月9日DIFFUSE、FreeBSDファイアウォールIPFWに統計情報ベースのパケット分類機能をもたらす取り組み

2011Q1 FreeBSD Status Reportが公開されました。報告されている中から興味深い話題を紹介します。

DIstributed Firewall and Flow-shaper Using Statistical Evidence(DIFFUSE)

DIFFUSEの開発状況が報告されています。DIFFUSEはFreeBSDのデフォルトのファイアウォール機能であるIPFWに統計情報に基づくパケット分類機能を追加するシステムです。この機能を利用すると、現在のIPFWでは指定できないようなフィルタリングルールの指定ができるようになります(たとえば対象となるアプリケーションを指定して、そのアプリケーションが利用するパケットデータに対してフィルタリングルールを適用するなど⁠⁠。

DIFFUSEにはフロー情報を他のIPFWインスタンスに送信する機能も提供しており、分散環境でも利用できるという特徴があります。たとえばひとつのホストでトラフィックを監視し、そのデータを使って別のホストでフィルタリングを実施する、といったことが可能です。今のところDIFFUSEはFreeBSD CURRENTに対するパッチセットという形で配布されています。

おすすめ記事

記事・ニュース一覧