平成22年秋期試験問題 午前Ⅱ 問6
問6解説へ
DMZ上に公開しているWebサーバで入力データを受け付け,内部ネットワークのDBサーバにそのデータを蓄積するシステムがある。インターネットからDMZを経由してなされるDBサーバへの不正侵入対策の一つとして,DMZと内部ネットワークとの間にファイアウォールを設置するとき,最も有効な設定はどれか。
- DBサーバの受信ポート番号を固定し,WebサーバからDBサーバの受信ポート番号への通信だけをファイアウォールで通す。
- DMZからDBサーバへの通信だけをファイアウォールで通す。
- Webサーバの発信ポート番号は任意のポート番号を使用し,ファイアウォールでは,いったん終了した通信と同じ発信ポート番号を使った通信を拒否する。
- Webサーバの発信ポート番号を固定し,その発信ポート番号からの通信だけをファイアウォールで通す。
正解 ア問題へ
分野:テクノロジ系
中分類:セキュリティ
小分類:情報セキュリティ対策
中分類:セキュリティ
小分類:情報セキュリティ対策
広告
解説
DMZ上の公開サーバが不正侵入された場合の被害を最小限にとどめるため、DMZから内部ネットワークへ通過させるパケットは最小限の種類であることが望まれます。
設問のシステムで必要となるのはWebサーバからDBサーバへの通信のみなので、ファイアウォールでは発信元がWebサーバ、宛先がDBサーバであるパケットのみ許可するのが適切です。
したがって正解は「ア」になります。
設問のシステムで必要となるのはWebサーバからDBサーバへの通信のみなので、ファイアウォールでは発信元がWebサーバ、宛先がDBサーバであるパケットのみ許可するのが適切です。
したがって正解は「ア」になります。
- 正しい。
- WebサーバだけでなくDMZ上に設置されているDNSサーバからもDBサーバにアクセス可能となるため不適切です。
- Webサーバから内部ネットワーク内の任意の端末にアクセス可能なので不適切です。
- Webサーバから内部ネットワーク内の任意の端末にアクセス可能なので不適切です。
広告