SIer 必須度 –
基本情報技術者試験 午後 情報セキュリティ(平成 28 年 秋 午後 問 1 設問 1, 2)のエッセンスを抽出しました(若干、厳密さを緩めました)。
この問題は、瞬殺できるようになっておいてください。 5 分
問題
A 社のネットワーク構成は、次の図の通りです。
設問 1 Web サーバと DB サーバは、それぞれ、サーバ群 X とサーバ群 Y のどちらに設置すべきですか?
設問 2 タブレットから、A 社の Web サーバにアクセスするまでの通信経路を、この絵に書き込んでください。
設問3 空欄を埋め、ファイアウォールのフィルタリングルールの設定を完成させてください(項番が小さいものから順に突合し、最初に一致したものが適用されるとします)。
| 項番 | 条件 | 動作 | ||
| 送信元 | 宛先 | 宛先ポート番号 | ||
| 1 | 443 | |||
| 2 | Web サーバ | 1552 | 許可 | |
| 3 | 任意 | |||
解説
設問 1 および 2 サーバの配置と通信経路
このような図になります。吹き出しの HTTPS、HTTP、DB 専用は、プロトコルの例です。
「DMZ」および「リバースプロキシサーバ」の意味を、おさえておいてください。
- DMZ とは、外部(信頼できない)ネットワークと、内部(信頼できる)ネットワークの、中間のネットワーク
- DMZ は、外部から内部に、直接アクセスさせないために設ける
- そこで、外部からも内部からもアクセスできるように、サーバを配置し、ファイアウォールで制御する
- リバースプロキシとは、外部から内部にアクセスする際の中継サーバ
- 単に「プロキシ(=代理)サーバ」といえば、内部のネットワークから、外部の Web サイトにアクセスする際に、必ず経由する(=中継する)サーバ
- 「リバースプロキシサーバ」とは、プロキシサーバとは「逆に(=リバース)」、外部のネットワークから、内部のネットワークにアクセスする際に必ず経由するサーバ
設問 3 ファイアウォールのフィルタリングルール
基本は、全ての通信を「拒否」しておいて、必要な通信のみを「許可」します。ですので、俗に「穴を開ける」と言うことがあります。
まずは、項番 3 の通り、基本的に全ての通信を拒否します。そのうえで、
- 項番 1 の通り、インターネットに接続されている「タブレット」から、「RP サーバ」へのアクセスを「許可」します。
- 項番 2 の通り、Web サーバから DB サーバへのアクセスを「許可」します。
| 項番 | 条件 | 動作 | ||
| 送信元 | 宛先 | 宛先ポート番号 | ||
| 1 | 任意 | RP サーバ | 443 | 許可 |
| 2 | Web サーバ | DB サーバ | 1552 | 許可 |
| 3 | 任意 | 任意 | 任意 | 拒否 |
以上です。
まとめ
- DMZ とは、外部(信頼できない)ネットワークと、内部(信頼できる)ネットワークの、中間のネットワーク
→ DMZ は、外部から内部に、直接アクセスさせないために設ける
→ 外部からも内部からもアクセスできるように、サーバを配置し、ファイアウォールで制御する - リバースプロキシとは、外部から内部にアクセスする際の中継サーバ
- ファイアウォールでは、基本的に全ての通信を拒否する
→ 外部とDMZ の間、DMZ と内部の間の通信のみ許可する
