HOME»ネットワークスペシャリスト掲示板»H29 午後1 問1 設問3 ケ
投稿する
»[0220] 令和3年度春、午後Ⅰ、大問1設問3(2)cについて 投稿数:3
»[0219] 令和元年 午後I 設問2(2)について 投稿数:8
H29 午後1 問1 設問3 ケ [0222]
ちゃんこさん(No.1)
インターネット→DMZ のFWルール設定の問題で、宛先IPアドレスが202.y.44.2/32となる理由が分かりません。
なぜプレフィックスが32なのか教えていただけないでしょうか。
よろしくお願いします。
なぜプレフィックスが32なのか教えていただけないでしょうか。
よろしくお願いします。
2022.02.14 22:10
いししさん(No.2)
こんばんは
以下の回答でいかがでしょうか。ご参考になれば幸いです。
インターネットの[任意]からDMZの[ケ]宛への TCP/443通信 を許可というルールは、顧客がインターネット越しで、DMZにあるSSL-VPN装置へのSSL通信を許可するためのルールなので[ケ]のアドレスはSSL-VPN装置(202.y.44.2)となります。
肝心のプレフィクスがなぜ 32 なのかというのは、セキュリティ確保の観点で、インターネットからDMZへの通信を許可するFWルール(穴あけ)は必要最低限にするためです。
ルールの発信元や宛先は、アドレスとプレフィクスを組み合わせて、ルールに合致するアドレス範囲を指定できます。
202.y.44.2/32 だと アドレス範囲は 202.y.44.2 (SSL-VPN装置だけ)
202.y.44.2/31 だと アドレス範囲は 202.y.44.2~3
202.y.44.0/30 だと アドレス範囲は 202.y.44.0~3
202.y.44.0/29 だと アドレス範囲は 202.y.44.0~7
202.y.44.0/28 だと アドレス範囲は 202.y.44.0~15 (DMZすべて)
この設問の場合は、インターネットからDMZのSSL-VPN装置のみにSSL通信を許可すれば目的が果たせるので プレフィクスは 32ビットで指定します。
以下の回答でいかがでしょうか。ご参考になれば幸いです。
インターネットの[任意]からDMZの[ケ]宛への TCP/443通信 を許可というルールは、顧客がインターネット越しで、DMZにあるSSL-VPN装置へのSSL通信を許可するためのルールなので[ケ]のアドレスはSSL-VPN装置(202.y.44.2)となります。
肝心のプレフィクスがなぜ 32 なのかというのは、セキュリティ確保の観点で、インターネットからDMZへの通信を許可するFWルール(穴あけ)は必要最低限にするためです。
ルールの発信元や宛先は、アドレスとプレフィクスを組み合わせて、ルールに合致するアドレス範囲を指定できます。
202.y.44.2/32 だと アドレス範囲は 202.y.44.2 (SSL-VPN装置だけ)
202.y.44.2/31 だと アドレス範囲は 202.y.44.2~3
202.y.44.0/30 だと アドレス範囲は 202.y.44.0~3
202.y.44.0/29 だと アドレス範囲は 202.y.44.0~7
202.y.44.0/28 だと アドレス範囲は 202.y.44.0~15 (DMZすべて)
この設問の場合は、インターネットからDMZのSSL-VPN装置のみにSSL通信を許可すれば目的が果たせるので プレフィクスは 32ビットで指定します。
2022.02.17 21:31
ryotyankoさん(No.3)
ご丁寧に回答ありがとうございます!
プレフィックスが32になる理由がわかりました!
ありがとうございました!
>肝心のプレフィクスがなぜ 32 なのかというのは、セキュリティ確保の観点で、インターネットからDMZへの通信を許可するFWルール(穴あけ)は必要最低限にするためです。
プレフィックスが32になる理由がわかりました!
ありがとうございました!
2022.02.18 23:10
その他のスレッド
»[0221] 令和3年度春、午後Ⅰ、大問2設問2について 投稿数:3»[0220] 令和3年度春、午後Ⅰ、大問1設問3(2)cについて 投稿数:3
»[0219] 令和元年 午後I 設問2(2)について 投稿数:8