平成22年秋期問6 ファイアウォールの設定

情報セキュリティスペシャリスト平成22年秋期午前Ⅱ 問6

問6

DMZ上に公開しているWebサーバで入力データを受け付け，内部ネットワークのDBサーバにそのデータを蓄積するシステムがある。インターネットからDMZを経由してなされるDBサーバへの不正侵入対策の一つとして，DMZと内部ネットワークとの間にファイアウォールを設置するとき，最も有効な設定はどれか。

DBサーバの受信ポート番号を固定し，WebサーバからDBサーバの受信ポート番号への通信だけをファイアウォールで通す。
DMZからDBサーバへの通信だけをファイアウォールで通す。
Webサーバの発信ポート番号は任意のポート番号を使用し，ファイアウォールでは，いったん終了した通信と同じ発信ポート番号を使った通信を拒否する。
Webサーバの発信ポート番号を固定し，その発信ポート番号からの通信だけをファイアウォールで通す。

[出題歴]
情報セキュリティ H21春期問9

分類

テクノロジ系 » セキュリティ » 情報セキュリティ対策

正解

ア

解説

DMZ上の公開サーバが不正侵入された場合の被害を最小限にとどめるため、DMZから内部ネットワークへ通過させるパケットは最小限の種類であることが望まれます。
設問のシステムで必要となるのはWebサーバからDBサーバへの通信のみなので、ファイアウォールでは発信元がWebサーバ、宛先がDBサーバであるパケットのみ許可するのが適切です。

したがって正解は「ア」になります。

正しい。
WebサーバだけでなくDMZ上に設置されているDNSサーバからもDBサーバにアクセス可能となるため不適切です。
Webサーバから内部ネットワーク内の任意の端末にアクセス可能なので不適切です。
Webサーバから内部ネットワーク内の任意の端末にアクセス可能なので不適切です。

情報セキュリティスペシャリスト平成22年秋期 午前Ⅱ 問6

問6

分類

正解

解説

情報セキュリティスペシャリスト平成22年秋期午前Ⅱ 問6