ソフトウェア開発技術者
平成15年午後I問3
H社のネットワーク管理部門では、自社のシステムをインターネットに接続するこ
とにし、ネットワークセキュリティ方針(以下、セキュリティ方針という)を決定し
た。セキュリティ方針に沿って、ファイアウォール製品を購入し、システム構成を図
に示すものとした。
H社が購入したファイアウォールの仕様を次に示す。このファイアウォールは、図
中のGate-way上で動作させるものとする。
〔ファイアウォールの仕様〕
(1)アプリケーションゲートウェイ型のファイアウォールである。
アプリケーションゲートウェイ型のファイアウォールでは、内部ネットワーク上
にあるクライアントパソコンがインターネット上にあるサーバとの通信を行う際に、
ファイアウォール用のコンピュータが要求を中継し、クライアントに代わって目的
のサーバとの通信を行う。また、TCP/IPプロトコルの上位層のサービス(http、
https、ftp、smtp、dnsなどのプロトコルや、利用者が作成したアプリケーションサ
ービス)に対してセキュリティ方針を定義することができる。
(2)ネットワーク上の資源を管理できる。
ネットワーク上の資源(オブジェクト)とは、ネットワーク上に存在するコンピ
ュータ(ホスト名、そのIPアドレス)やLAN(LAN名、そのIPサブネットアド
レス)などの情報のことで、次に述べるセキュリティルールベースを定義する際に
使用される。そこでは、ネットワーク上のすべてのコンピュータや、すべてのサー
ビスを指す場合、特別な名称として“すべて”を使用できる。
(3)セキュリティルールベースの定義ができる。
送信側オブジェクト、受信側オブジェクト及びサービスの種類の組合せに対し、
ファイアウォールの動作(許可又は禁止)を定義したものの集合をルールベース
(表1)と呼ぶ。セキュリティ方針をファイアウォールによって実現するには、ル
ールベースを定義する必要がある。このファイアウォールは、到着したIPデータグ
ラムに対し、定義されたルールベースを上から順に適用し、最初に適合したルール
によってそのIPデータグラムに対する動作を決定する。
| 項番 | 送信側 オブジェクト名 |
受信側 オブジェクト名 |
サービス名称 | 動作 |
| 1 | すべて | Gate-way | すべて | 禁止 |
表1では、すべての利用者からGate-wayへのアクセスを、すべてのサービスで
禁止する(許可しない)ことを示している。
(4)アドレス変換機能を備えている。
アドレス変換機能は、IPデータグラム内のIPアドレスを別のIPアドレスに付け
替える機能である。この機能は、内部ネットワーク上から外部(インターネット
側)へ向けて開始された通信に対して適用され、内部のネットワークで使用してい
るIPアドレスを隠ぺいして、ゲートウェイ自身のグローバルIPアドレスだけを外
部に見せるようにする。
設問1
H社のネットワーク管理部門は、セキュリティ方針を次のように決定し、ファ
イアウォールヘ実装するためのルールベースを定義した。
表2“H社ネットワーク管理部門のルールベース”中の【 a 】~
【 h 】に入れる適切な字句を答えよ。
〔セキュリティ方針〕
①インターネット側から来る電子メールは、必ず外部のメールサーバ(GW-
mail)で受け、このメールサーバが内部のメールサーバ(Mail)へ中継する。
②利用者(インターネット側を含む)からのファイアウォール(Gate-way)
への直接アクセスをすべて禁止する。
③内部のパソコンからインターネットヘのアクセスは、http、https、ftpの各
サービスだけ許可し、必ずプロキシサーバ(Proxy)を経由する。
④内部のパソコンから外部のdnsサーバ(GW-dns)への直接アクセスは許可
しない。必ず内部のdnsサーバ(Dns)を経由する。また、外部のdnsサー
バ(GW-dns)から内部のdnsサーバ(Dns)への通信は許可しない。
⑤内部のパソコンから外部のメールサーバ(GW-mail)への直接アクセスは
許可しない。必ず、内部のメールサーバ(Mail)を使わせる。また、内部の
メールサーバ(Mail)から直接インターネットヘのメールを発信させない。
必ず、外部のメールサーバ(GW-mail)が中継して、インターネット側へ発
信する。
⑥内部のパソコンからのドメイン名参照は、内部のdnsサーバ(Dns)を使
用する。
⑦Webサーバ(WWW)へは、すべての利用者(インターネット側を含む)
からのアクセス(http、https)を認める。また、内部のパソコンからの直接
アクセスも認める。
⑧“原則拒否の方針”を採用し、セキュリティ方針として言及していない通
信は、すべて禁止する。
|
|
オブジェクト名 |
オブジェクト名 |
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
設問2
H社の営業部門から、営業社員にモバイルパソコンを持たせ、顧客先などから
インターネットを経由して内部のパソコン(サーバ)ヘアクセスし、ftpプロトコ
ルを用いて情報をモバイルパソコンにダウンロードしたいという要望が挙がった。
しかし、ネットワーク管理部門で検討した結果、この要望は実現できないことが
分かった。
ネットワーク管理部門の検討結果の【 i 】~【 m 】に入れる適切な
字句を答えよ。
〔セキュリティ方針〕 を見ると、インターネット側からの【 i 】による
通信に言及していない。したがって、【 j 】によって、この通信は
【 k 】されている。
ファイアウォールの【 l 】によって内部ネットワークの【 m 】が隠
ぺいされているので、モバイルパソコンと内部ネットワーク上のパソコン(サー
バ)間で、【 i 】によるコネクションが確立できない。
sponsored link
このページ
のTOPへ
