以下の構成のネットワークを管理しており,インターネット接続にファイアウォール装置を利用している。社内LANからインターネットへのアクセス・ポリシーは,「FTP,WWW,Mail(POP3,SMTP)を許可し,それ以外を禁止する」という内容である。そのポリシーに基づいて,ファイアウォールには以下のように設定している。具体的には,1行目~3行目でアプリケーションを許可(通過)し,4行目でそれ以外の通信を禁止(破棄)している。この処理は上から下に順番に実行され,LANからインターネットへのパケットに対して適用される。今回,社内LANからインターネットへのpingの通信も利用できるようにファイアウォール設定を追加することになった。正しく設定が追加できているものはどれか。選択肢から一つ選びなさい。なお,このファイアウォールは,要求パケットに対する応答パケットを自動的に通す機能(ステートフルインスペクション機能)を持っているとする。
[選択肢]
a. (1)
b. (2)
c. (3)
d. (4)
e. (5)
[解説]
正解は,選択肢cの(3)の設定です。
ファイアウォールのポリシー設定の方法は機器によってさまざまですが,「どこから」,「どこへ」,「どんな通信を」,「許可/禁止するのか」といった設定をするのは,基本的にどの機器でも同じです。
(1)は,一番下の行に「ping許可」の設定を挿入しています。問題文には「処理は上から下の順番に処理される」とあります。この設定は,「すべて破棄」が「ping許可」の前に処理されるため,結果的にpingパケットはすべて廃棄されてしまいます。
(2)は,「すべて破棄」の設定の前に設定が挿入していますが,動作が「許可」ではなく「禁止」になっています。そのため,これも間違いです。
(4)は,pingの終点アドレスをLANのアドレスである「192.168.100.0/24」に指定しています。この問題で設定するポリシーは,LANからインターネットあての通信です。そのため,この設定ではインターネット上のアドレスにpingは打てません。 「192.168.100.0/24」を設定するなら「終点アドレス」ではなく「始点アドレス」にすべきです。
(5)は,設定の挿入場所は正しいのですが,受信インタフェース(LAN1)と送信インタフェース(LAN2)の指定が反対です。
