HOME»応用情報技術者試験掲示板»平成30年春期午後問5
投稿する

平成30年春期午後問5 [4373]

 超初学者さん(No.1) 
https://www.ap-siken.com/kakomon/30_haru/pm05.html

設問3(3)FWの設定ですが、解答の通りだと社内LANからのアクセスも遮断してしまい保守できなくなる気がするのですが、そんなことありませんか?
2023.08.07 22:19
GinSanaさん(No.2) 
AP プラチナマイスター
この投稿は投稿者により削除されました。(2023.08.08 07:51)
2023.08.08 07:51
GinSanaさん(No.3) 
AP プラチナマイスター
この投稿は投稿者により削除されました。(2023.08.08 08:08)
2023.08.08 08:08
GinSanaさん(No.4) 
AP プラチナマイスター
ACLに書く、宛先IPアドレスがLB(負荷分散装置)かWebサーバそのもので、送信元IPアドレスがWAFサービスのIPアドレスかFQDNなら、プロトコルはHTTPかHTTPSを指定しているわけで(解説でプロトコルまで触れてないけど、想像は容易につく)、
社内だろうがWebサイトに入りたければ(HTTPでアクセスする場合)WAFを経由しろ、というわけで、
資産のデプロイとかの保守で入るときは、プロトコルにHTTPかHTTPSを使うわけじゃないですよね。資産置くならSFTPとか、サーバ入るにしてもSSHとか使うじゃないですか。

LBで送信元IP(WAFサービスのIPアドレスかFQDN→LB)と宛先IP(LBの仮想IP(LBが複数あるから、仮想IPを振っていると想定)→振り分け先のWebサーバの実IP)が書き変わるからどうなんだよ、となるかもしれませんが、FWの中なのでそこは規制がかからないですね。
2023.08.08 08:08
犬。さん(No.5) 
>超初学者さん
機種にも依るところはありますが、ルータやスイッチに設定するACLとFWに設定するACLは若干異なります。

あるFWだと、ゾーンという概念が存在します。
例えば、「external」「DMZ」「internal」のような感じです。

そして、「external」→「DMZ」向けのACL、「DMZ」→「internal」向けのACL、「internal」→「DMZ」向けのACLのように、細かい制御が可能です。

つまり、今回問われているのは、「external」→「DMZ」のACLの中で、元々送信元がインターネット全般(any)、宛先がWebサイト、プロトコルがhttp/httpsだったものを、送信元をanyからWAFのIPアドレス、FQDNにするということだと思います。

このため、超初学者さんが気にされている、「internal(社内LAN)」→「DMZ」の通信への影響は無いものと考えます。

如何でしょうか。
2023.08.09 11:22
 超初学者さん(No.6) 
>GinSanaさん

回答ありがとうございます。
確かにメンテナンスなどにhttp/httpsプロトコルは使わないですね。
頭から抜けていました。

>犬。さん

ご回答ありがとうございます。
ゾーンの切り分けが設定できるなら、通信の方向性を区別して各々設定すれば良いですね。

お二人ともありがとうございました。
大変勉強になりました。
2023.08.09 21:43

返信投稿用フォーム

スパム防止のためにスレッド作成日から30日経過したスレッドへの投稿はできません。
© 2010-2024 応用情報技術者試験ドットコム All Rights Reserved.

Pagetop