平成29年度午後１問１

設問ではなく本文のについて質問です。
H社のネットワーク構成のSSL-VPN装置の役割と設置個所について、

図１（現行ネットワーク構成）では、H社のインターネットとの接続に「ルーター」がありますが、
図２（検討後ネットワーク構成）では、「ルーター」がないのは「SSL-VPN装置」がVPN対応ルーターということでしょうか。

また、本問では内部の開発LANからの接続もありDMZに設置することから、「FW」の内側に「SSL-VPN装置」を設置していますが、
内部からの接続がなかった場合、「FW」の外側に「SSL-VPN装置」を設置してもいいのでしょうか。

初歩的な内容ですみませんが、よろしくお願いいたします。

>図１（現行ネットワーク構成）では、H社のインターネットとの接続に「ルーター」がありますが、
>図２（検討後ネットワーク構成）では、「ルーター」がないのは「SSL-VPN装置」がVPN対応ルーターということでしょうか。

図1のH社ルータ(インターネットゲートウェイ)が図2に記載されていない理由は、本文の内容から読み解けておりませんが、追加されたSSL-VPN装置がVPN対応ルータかどうかは無関係に思えます。

ご質問の意図が違っておりましたら、追加でご質問ください。

>また、本問では内部の開発LANからの接続もありDMZに設置することから、「FW」の内側に「SSL-VPN装置」を設置していますが、
>内部からの接続がなかった場合、「FW」の外側に「SSL-VPN装置」を設置してもいいのでしょうか。

"内側"、"外側"という部分について私の解釈が間違っているかもしれませんが、セキュリティ面であまり良くないと思います。

DMZ上に設置されている理由は、インターネット上からの通信を必要なものに限定し公開するためです。開発LANからのSSL-VPN接続とは無関係です。

hisashiさん

ご回答ありがとうございます。

＞追加されたSSL-VPN装置がVPN対応ルータかどうかは無関係に思えます。

顧客間とのリモート接続のみのため、ルータは不要ということでしょうか？
ルータが必要となるのは、顧客間との接続以外のWEB閲覧等の一般的なインターネットを利用する場合でしょうか？
今更ながらよくわかっておらず、すみません。

＞DMZ上に設置されている理由は、インターネット上からの通信を必要なものに限定し公開するためです。開発LANからのSSL-VPN接続とは無関係です。

無関係なんですね、わかりました。

顧客へのSSL-VPN接続の提供、H社内からブラウザのWeb閲覧には、インターネット接続をするルータ(インターネットゲートウェイ）が必要となります。
おそらく、図2にルータの表記がなく、DMZの公開や社内からのWEB閲覧がどのようなロジックで成り立っているか？疑問に思っての質問かと思います。

インターネットゲートウェイは、インターネットに最も近い位置に設置します。図1の場合ですとルータ、図2の場合は、ルータが実際撤去されていれば、FW(※)となります。
図2は、SSL-VPN装置はFWの配下にあり、インターネットゲートウェイになることは考えにくい構成です。

ただ、更改後図1にあったH社のルータが撤去され、FWがインターネットゲートウェイに成り代わるかは問題文から読み解けません。
図2でルータの表記が省略されている可能性もあります。

※インターネット接続、IP8個を取得する設定(unnumbered接続設定など）が追加されます。

hisashiさん

ご回答ありがとうございます。

＞インターネットゲートウェイは、インターネットに最も近い位置に設置します。図1の場合ですとルータ、図2の場合は、ルータが実際撤去されていれば、FW(※)となります。
＞図2は、SSL-VPN装置はFWの配下にあり、インターネットゲートウェイになることは考えにくい構成です。

だから、SSL-VPN装置がVPN対応ルータかどうかは無関係なんですね。
ルータがなくても、FWがインターネットゲートウェイに成り代わるることでインターネットは可能ではあるんですね。
勉強になりました。ありがとうございました。