FreeBSD Daily Topics

2011年6月9日 DIFFUSE,FreeBSDファイアウォールIPFWに統計情報ベースのパケット分類機能をもたらす取り組み

この記事を読むのに必要な時間:およそ 0.5 分

2011Q1 FreeBSD Status Reportが公開されました。報告されている中から興味深い話題を紹介します。

DIstributed Firewall and Flow-shaper Using Statistical Evidence(DIFFUSE)

DIFFUSEの開発状況が報告されています。DIFFUSEはFreeBSDのデフォルトのファイアウォール機能であるIPFWに統計情報に基づくパケット分類機能を追加するシステムです。この機能を利用すると,現在のIPFWでは指定できないようなフィルタリングルールの指定ができるようになります(たとえば対象となるアプリケーションを指定して,そのアプリケーションが利用するパケットデータに対してフィルタリングルールを適用するなど)⁠

DIFFUSEにはフロー情報を他のIPFWインスタンスに送信する機能も提供しており,分散環境でも利用できるという特徴があります。たとえばひとつのホストでトラフィックを監視し,そのデータを使って別のホストでフィルタリングを実施する,といったことが可能です。今のところDIFFUSEはFreeBSD CURRENTに対するパッチセットという形で配布されています。

コメント

コメントの記入