HOME»ネットワークスペシャリスト掲示板»平成29年問1 設問3のケについて
投稿する
»[0390] 平成26 午後2 問2 MACアドレス学習機能 投稿数:3
»[0389] 平成30年度午後Ⅰ問1設問3(3) 投稿数:3
平成29年問1 設問3のケについて [0392]
クラッカー大臣さん(No.1)
インターネット→DMZに対するFWの設定について(ケ)
インターネットからDMZへの通信の流れは以下の2パターンと考えており、パターン2のための設定が不要な理由が分からないため、理由を教えて頂きたくお願いします。
< パターン1 >
PCから顧客環境システムへのアクセス
問題文に「PC→SSL-VPN装置→VLAN201→顧客環境システム」の記載があるため、インターネット→SSL-VPN装置(202.y.44.2/32)を充先とする通信をFWで許可する必要があると考えます。
< パターン2 >
社内LAN→インターネットに対する戻りの通信
社内LANからインターネットへの通信はプロキシサーバを経由するため、戻りの通信はインターネット→プロキシサーバ→社内LANの流れになると考えます。
ケの回答だとパターン2の通信は遮断されてしまうと考えたのですが、これは本当はFWのリストにパターン2を許可する通信も含まれているけど、抜粋ということで記載が省略されているだけという認識で相違無いでしょうか?
また、実際にケの回答部分を「202.y.44.0/28」とした場合、実運用でどのような問題が発生するかも教えて頂きたくお願いします。
インターネットからDMZへの通信の流れは以下の2パターンと考えており、パターン2のための設定が不要な理由が分からないため、理由を教えて頂きたくお願いします。
< パターン1 >
PCから顧客環境システムへのアクセス
問題文に「PC→SSL-VPN装置→VLAN201→顧客環境システム」の記載があるため、インターネット→SSL-VPN装置(202.y.44.2/32)を充先とする通信をFWで許可する必要があると考えます。
< パターン2 >
社内LAN→インターネットに対する戻りの通信
社内LANからインターネットへの通信はプロキシサーバを経由するため、戻りの通信はインターネット→プロキシサーバ→社内LANの流れになると考えます。
ケの回答だとパターン2の通信は遮断されてしまうと考えたのですが、これは本当はFWのリストにパターン2を許可する通信も含まれているけど、抜粋ということで記載が省略されているだけという認識で相違無いでしょうか?
また、実際にケの回答部分を「202.y.44.0/28」とした場合、実運用でどのような問題が発生するかも教えて頂きたくお願いします。
2024.02.25 16:36
cheer upさん(No.2)
私も勉強中の身で考えてみたのですが、パターン2の場合は、まず社内LAN→ネットで、FWのNATでグローバルIPアドレスに差出人が変更されるので、戻りの通信の宛先もグローバルIPアドレスになり、FWの表1のルールでは弾かないのではないかと思いました。
実際、表1のアドレス変換は無になっているので、NATする場合のルールではないようです。
詳しい方の解説を私もお願いしたいです。
実際、表1のアドレス変換は無になっているので、NATする場合のルールではないようです。
詳しい方の解説を私もお願いしたいです。
2024.02.26 09:46
boyonboyonさん(No.3)
「ステートフル・インスペクション」で調べてみてください。
2024.02.26 11:36
その他のスレッド
»[0391] 令和4年午後2問5-(3)について 投稿数:5»[0390] 平成26 午後2 問2 MACアドレス学習機能 投稿数:3
»[0389] 平成30年度午後Ⅰ問1設問3(3) 投稿数:3