セキュリティ対策として、次の条件の下でデータベース(DB)サーバをDMZから内部ネットワークに移動するようなネットワーク構成の変更を計画している。 このとき、ステートフルパケットインスペクション型のファイアウォール(FW)において、必要となるフィルタリングルールの変更のうち一つはどれか。
[条件] | |
(1) | Webアプリケーション(WebAP)サーバを、インターネットに公開する。 |
(2) | WebAPサーバ上のプログラムだけがDBサーバ上のDBに接続でき、ODBC(Open Database Connectivity)を使用し特定のポート間で通信する。 |
(3) | SSHを使用して各サーバに接続できるのは、運用管理PCだけである。 |
(4) | フィルタリングルールは、必要な通信だけを許可する設定にする。 |
[ネットワーク構成]
ルールの変更種別 | ルール | ||||
送信元 | 宛先 | サービス | 制御 | ||
ア | 削除 | インターネット | WebAPサーバ | HTTP | 許可 |
イ | 削除 | 運用管理PC | 変更前のDBサーバ | SSH | 許可 |
ウ | 追加 | WebAPサーバ | 変更後のDBサーバ | SSH | 許可 |
エ | 追加 | インターネット | WebAPサーバ | ODBC | 許可 |
答え イ
【解説】
変更の前後ではDBサーバがDMZから内部ネットワークに移動していているので、ファイアウォールの設定で変更が必要なのはファイアウォールを経由する通信である
ルールの変更種別 | ルール | ||||
送信元 | 宛先 | サービス | 制御 | ||
イ | 削除 | 運用管理PC | 変更前のDBサーバ | SSH | 許可 |
ルールの変更種別 | ルール | |||
送信元 | 宛先 | サービス | 制御 | |
追加 | WebAPサーバ | 変更後のDBサーバ | ODBC | 許可 |
【キーワード】
・ODBC