(1)簡単な例
以下のように、FWを中心に、ネットワークが.ぅ鵐拭璽優奪函↓DMZ、F睇LAN、の3つに分けられています。今回はインターネットとDMZ間のFWのポリシーについて考えます。
・公開サーバは、Web、メール、DNSの3つ
・DNSはプライマリDNSサーバで、セカンダリDNSサーバは、クラウド上のサービスを利用している。
この条件で、インターネットとDMZ間のFWのポリシーを答えよ。
dmz
正解例は以下です。
あくまでも部分的に限定しているので、それ以外の通信も発生する可能性があります。一つの注意点は、セカンダリDNSサーバからのゾーン転送がTCPを使うことです。また、ゾーン転送は、セカンダリDNSサーバからプライマリDNSサーバです。また、外部DNSサーバはキャッシュ機能を持たせていないことがセキュリティ的に望まれるので、外部DNSサーバからインターネット上のDNSサーバへのDNS通信は許可していません。

項番

アクセス経路

送信元

宛先

プロトコル/ポート番号

1

インターネット→DMZ

any

公開Webサーバ

TCP/80

TCP443

2

any

外部メールサーバ

TCP/25

3

any

外部DNSサーバ

UDP/53

4

セカンダリDNSサーバ

外部DNSサーバ

TCP/53

6

DMZ→インターネット

外部メールサーバ

any

TCP/25


(2)ネットワークスペシャリスト試験の過去問
ネットワークスペシャリスト試験では、ファイアウォールのポリシーに関する出題がよくあります。中途半端な理解だと、また間違えます。
ネスペの本試験で、どんな問題が出ても対応できるように、きっちりと理解してしまいましょう。

では、以下の図だけを見て、Firewallのポリシーを作成してください。
とても勉強になるので、答えを見ずに自分で考えましょう。
(出題はH19NW午後1 問3より)
FW
以下にポリシーを当てはめてください。
書き方は1行目(ポート0)を参考にしてください。
1行目がなぜこうなるかをまずは考えましょう。
・まず、ポート0はインターネットがつながっています。
・次にポート1は公開サーバがあるので、DMZです。
・ポート2は内部セグメントです。
・ポート3は監視用サーバのセグメントになります。
mondai
正解は以下です。自分で納得するようにしてください。
書き方は1行目(ポート0)を参考にしてください。
まず,1行目がなぜこうなるかを考えましょう。1行目はインターネットからのアクセスですので,許可するのはDMZの公開サーバのみです。

2行目はDMZからの通信です。
インターネットからDMZへの通信が「DOMAIN,SMTP,HTTP」なので,DMZからインターネットへの通信も同じという単純な内容ではありません。
このFWがダイナミックパケットフィルタリング機能を持たないのであれば,行き帰りのルールは基本的に同じになりますが,今回はダイナミックパケットフィルタの機能を持つので,行きと帰りは別々に考える必要があります。DMZからインターネットへの通信は,以下の3つです。
DOMAIN:DNSのゾーン転送やDNSの問い合わせなど
SMTP:内部から外部へのメール転送
HTTP:プロキシサーバ(元は内部セグメントのPC)からのインターネットアクセス

3行目は,内部セグメントからの通信です。
インターネットから直接アクセスさせることをしないルールになっています(考え方次第なので,企業によって異なります)。内部セグメントからDMZへの通信は,以下の3つです。
DOMAIN:PCからDNSの問い合わせ
SMTP:内部メールサーバからメールの送信
HTTP:インターネットアクセス

内部セグメントから監視セグメントへの通信は,以下の2つです。
‘睇凜札哀瓮鵐箸竜ヾ錣ら監視サーバへのTrap
監視用PCから監視サーバへ管理画面(WEB)へのアクセス

4行目は,監視セグメントからの通信で,DMZや内部セグメントへのSNMPによるポーリングなどの通信があります。
seikai

スポンサードリンク