平成29年問1 設問3のケについて

クラッカー大臣さん  
(No.1)
インターネット→DMZに対するFWの設定について(ケ)

インターネットからDMZへの通信の流れは以下の2パターンと考えており、パターン2のための設定が不要な理由が分からないため、理由を教えて頂きたくお願いします。

< パターン1 >
PCから顧客環境システムへのアクセス
問題文に「PC→SSL-VPN装置→VLAN201→顧客環境システム」の記載があるため、インターネット→SSL-VPN装置(202.y.44.2/32)を充先とする通信をFWで許可する必要があると考えます。

< パターン2 >
社内LAN→インターネットに対する戻りの通信
社内LANからインターネットへの通信はプロキシサーバを経由するため、戻りの通信はインターネット→プロキシサーバ→社内LANの流れになると考えます。

ケの回答だとパターン2の通信は遮断されてしまうと考えたのですが、これは本当はFWのリストにパターン2を許可する通信も含まれているけど、抜粋ということで記載が省略されているだけという認識で相違無いでしょうか?
また、実際にケの回答部分を「202.y.44.0/28」とした場合、実運用でどのような問題が発生するかも教えて頂きたくお願いします。
2024.02.25 16:36
cheer upさん 
(No.2)
私も勉強中の身で考えてみたのですが、パターン2の場合は、まず社内LAN→ネットで、FWのNATでグローバルIPアドレスに差出人が変更されるので、戻りの通信の宛先もグローバルIPアドレスになり、FWの表1のルールでは弾かないのではないかと思いました。
実際、表1のアドレス変換は無になっているので、NATする場合のルールではないようです。
詳しい方の解説を私もお願いしたいです。
2024.02.26 09:46
boyonboyonさん 
(No.3)
「ステートフル・インスペクション」で調べてみてください。
2024.02.26 11:36

返信投稿用フォーム

スパム防止のためにスレッド作成日から30日経過したスレッドへの投稿はできません。

その他のスレッド


Pagetop