セキュリティ対策として、次の条件の下でデータベース(DB)サーバをDMZから内部ネットワークに移動するようなネットワーク構成の変更を計画している。 このとき、ステートフルパケットインスペクション型のファイアウォール(FW)において、必要となるフィルタリングルールの変更のうち一つはどれか。
| [条件] | |
| (1) | Webアプリケーション(WebAP)サーバを、インターネットに公開する。 |
| (2) | WebAPサーバ上のプログラムだけがDBサーバ上のDBに接続でき、ODBC(Open Database Connectivity)を使用し特定のポート間で通信する。 |
| (3) | SSHを使用して各サーバに接続できるのは、運用管理PCだけである。 |
| (4) | フィルタリングルールは、必要な通信だけを許可する設定にする。 |
[ネットワーク構成]
| ルールの変更種別 | ルール | ||||
| 送信元 | 宛先 | サービス | 制御 | ||
| ア | 削除 | インターネット | WebAPサーバ | HTTP | 許可 |
| イ | 削除 | 運用管理PC | 変更前のDBサーバ | SSH | 許可 |
| ウ | 追加 | WebAPサーバ | 変更後のDBサーバ | SSH | 許可 |
| エ | 追加 | インターネット | WebAPサーバ | ODBC | 許可 |
答え イ
【解説】
変更の前後ではDBサーバがDMZから内部ネットワークに移動していているので、ファイアウォールの設定で変更が必要なのはファイアウォールを経由する通信である
| ルールの変更種別 | ルール | ||||
| 送信元 | 宛先 | サービス | 制御 | ||
| イ | 削除 | 運用管理PC | 変更前のDBサーバ | SSH | 許可 |
| ルールの変更種別 | ルール | |||
| 送信元 | 宛先 | サービス | 制御 | |
| 追加 | WebAPサーバ | 変更後のDBサーバ | ODBC | 許可 |
【キーワード】
・ODBC
戻る
一覧へ
次へ