DMZ上の公開Webサーバで入力データを受け付け、内部ネットワークのDBサーバにそのデータを蓄積するシステムがある。
DBサーバへの不正侵入対策の一つとして、ファイアウォールの最も有効な設定はどれか。
ア | DBサーバの受信ポートを固定にし、WebサーバからDBサーバの受信ポートへ発信された通信だけをファイアウォールで通す。 |
イ | DMZからDBサーバあての通信だけをファイアウォールで通す。 |
ウ | Webサーバの発信ポートは任意のポート番号を使用し、ファイアウォールでは、いったん終了した通信と同じ発信ポートを使った通信を拒否する。 |
エ | Webサーバの発信ポートを固定し、その発信ポートの通信だけをファイアウォールで通す。 |
答え ア
【解説】
不正侵入を防ぐためのファイアウォールの設定で最も有効なのは、ファイアウォールが通過させるパケットの種類を最小限にすることである。
問題から内部ネットワークのDBサーバと通信する必要があるのはDMZのWebサーバだけであるので、ファイアウォールの設定としてはDBサーバへの通信だけを許可している選択肢アかイに絞られる。
選択肢アとイを比較すると、選択肢アはDBサーバの特定のポート以外への通信のみを許可する設定であるが、選択肢イはDMZからDBサーバへの通信なのでWebサーバだけでなくDNSサーバからも通信可能であり、またDBサーバあてであればデータ蓄積のため以外のポートへの通信もファイアウォールを通過してしまうので、最小限の設定は選択肢アである。
【キーワード】
・ファイアウォール
・DMZ