情報セキュリティスペシャリスト 平成21年春期 午前U 問9

午前U 問9

DMZ上の公開Webサーバで入力データを受け付け,内部ネットワークのDBサーバにそのデータを蓄積するシステムがある。DBサーバへの不正侵入対策の一つとして,ファイアウォールの最も有効な設定はどれか。
09.gif/image-size:305×173
  • DBサーバの受信ポートを固定にし,WebサーバからDBサーバの受信ポートへ発信された通信だけをファイアウォールで通す。
  • DMZからDBサーバあての通信だけをファイアウォールで通す。
  • Webサーバの発信ポートは任意のポート番号を使用し,ファイアウォールでは,いったん終了した通信と同じ発信ポートを使った通信を拒否する。
  • Webサーバの発信ポートを固定し,その発信ポートの通信だけをファイアウォールで通す。
  • [この問題の出題歴]
  • 情報セキュリティ H22秋期 問6

分類

テクノロジ系 » セキュリティ » 情報セキュリティ対策

正解

解説

DMZ上の公開サーバが不正侵入された場合の被害を最小限にとどめるため、DMZから内部ネットワークへ通過させるパケットは最小限の種類であることが望まれます。
設問のシステムで必要となるのはWebサーバからDBサーバへの通信のみなので、ファイアウォールでは発信元がWebサーバ、宛先がDBサーバであるパケットのみ許可するのが適切です。

したがって正解は「ア」になります。
  • 正しい。
  • WebサーバだけでなくDMZ上に設置されているDNSサーバからもDBサーバにアクセス可能となるため不適切です。
  • Webサーバから内部ネットワーク内の任意の端末にアクセス可能なので不適切です。
  • Webサーバから内部ネットワーク内の任意の端末にアクセス可能なので不適切です。
© 2014-2019 情報処理安全確保支援士ドットコム All Rights Reserved.

Pagetop