令和元年 午後2 問2 設問4(5)

abcさん  
(No.1)
オの解答が「α.β.γ.6」(=DNS2)となっていますが、α.β.γ.1(=DNS1)も含まないのは何故でしょうか?

DNS1はコンテンツサーバなので、インターネットからの問い合わせ(主に代理店サーバの名前解決?)に対して応答を返すためにDMZ⇒インターネットの許可が必要という認識なのですが違うのでしょうか。
表1の項番6は上記用のルールなのでこれは変えずに、今回分離したDNS2の分のルールを"追加"するのかと思ったのですが、表2は「表1の変更内容」とあり混乱しています。

よろしくお願いします。
2023.03.14 20:44
hisashiさん 
NW ゴールドマイスター
(No.2)
>DNS1はコンテンツサーバなので、インターネットからの問い合わせ(主に代理店サーバの名前解決?)に対して応答を返すためにDMZ⇒インターネットの許可が必要という認識なのですが違うのでしょうか。

違います。

表1の注記2にFWはステートフルパケットインスペクション機能を持つとあるため、応答パケットは自動的に許可されている判断できます。
つまり、インターネットからの問い合わせに対する応答も表1の項番1のポリシーが適用されることになります。

項番6(DMZ→インターネット)は、外部DNSサーバ(DNS2)がインターネット上のサーバに反復問い合わせをするために許可さるポリシーであり、またその問い合わせに関するインターネットからの応答も項番6に適用されます。
2023.03.14 21:58
abcさん  
(No.3)
ご回答ありがとうございました!

ステートフルパケットインスペクション機能に対する知識不足でした。。。
TCP通信のコネクションを監視するためだけの機能だと思っており、DNSや他にもNTPでも使用される機能ということを知り、勉強になりました。
解説のおかげで解答の意味も理解することができました。

ありがとうございました。
2023.03.14 23:35

返信投稿用フォーム

スパム防止のためにスレッド作成日から30日経過したスレッドへの投稿はできません。

その他のスレッド


Pagetop