Firewallのルールの問題にチャレンジしてみよう！ : ネットワークスペシャリスト

(1)簡単な例
以下のように、FWを中心に、ネットワークが①インターネット、②DMZ、③内部LAN、の３つに分けられています。今回はインターネットとDMZ間のFWのポリシーについて考えます。
・公開サーバは、Web、メール、DNSの３つ
・DNSはプライマリDNSサーバで、セカンダリDNSサーバは、クラウド上のサービスを利用している。
この条件で、インターネットとDMZ間のFWのポリシーを答えよ。
dmz

正解例は以下です。
あくまでも部分的に限定しているので、それ以外の通信も発生する可能性があります。一つの注意点は、セカンダリDNSサーバからのゾーン転送がTCPを使うことです。また、ゾーン転送は、セカンダリDNSサーバからプライマリDNSサーバです。また、外部DNSサーバはキャッシュ機能を持たせていないことがセキュリティ的に望まれるので、外部DNSサーバからインターネット上のDNSサーバへのDNS通信は許可していません。

項番	アクセス経路	送信元	宛先	プロトコル/ポート番号
1	インターネット→DMZ	any	公開Webサーバ	TCP/80 TCP443
2		any	外部メールサーバ	TCP/25
3		any	外部DNSサーバ	UDP/53
4		セカンダリDNSサーバ	外部DNSサーバ	TCP/53
6	DMZ→インターネット	外部メールサーバ	any	TCP/25

(2)ネットワークスペシャリスト試験の過去問
ネットワークスペシャリスト試験では、ファイアウォールのポリシーに関する出題がよくあります。中途半端な理解だと、また間違えます。
ネスペの本試験で、どんな問題が出ても対応できるように、きっちりと理解してしまいましょう。

では、以下の図だけを見て、Firewallのポリシーを作成してください。
とても勉強になるので、答えを見ずに自分で考えましょう。
（出題はH19NW午後1　問3より)

以下にポリシーを当てはめてください。
書き方は1行目（ポート0）を参考にしてください。
1行目がなぜこうなるかをまずは考えましょう。
・まず、ポート0はインターネットがつながっています。
・次にポート1は公開サーバがあるので、DMZです。
・ポート2は内部セグメントです。
・ポート3は監視用サーバのセグメントになります。

正解は以下です。自分で納得するようにしてください。
書き方は1行目（ポート0）を参考にしてください。
まず，1行目がなぜこうなるかを考えましょう。1行目はインターネットからのアクセスですので，許可するのはDMZの公開サーバのみです。

2行目はDMZからの通信です。
インターネットからDMZへの通信が「DOMAIN，SMTP，HTTP」なので，DMZからインターネットへの通信も同じという単純な内容ではありません。
このFWがダイナミックパケットフィルタリング機能を持たないのであれば，行き帰りのルールは基本的に同じになりますが，今回はダイナミックパケットフィルタの機能を持つので，行きと帰りは別々に考える必要があります。DMZからインターネットへの通信は，以下の3つです。
①DOMAIN：DNSのゾーン転送やDNSの問い合わせなど
②SMTP：内部から外部へのメール転送
③HTTP：プロキシサーバ（元は内部セグメントのPC）からのインターネットアクセス

3行目は，内部セグメントからの通信です。
インターネットから直接アクセスさせることをしないルールになっています（考え方次第なので，企業によって異なります）。内部セグメントからDMZへの通信は，以下の3つです。
①DOMAIN：PCからDNSの問い合わせ
②SMTP:内部メールサーバからメールの送信
③HTTP：インターネットアクセス

内部セグメントから監視セグメントへの通信は，以下の2つです。
①内部セグメントの機器から監視サーバへのTrap
②監視用PCから監視サーバへ管理画面（WEB）へのアクセス

4行目は，監視セグメントからの通信で，DMZや内部セグメントへのSNMPによるポーリングなどの通信があります。

スポンサードリンク

ネットワークスペシャリスト - SE娘の剣 -

Firewallのルールの問題にチャレンジしてみよう！

コメント

ネットワークスペシャリスト - SE娘の剣 -

「12.1 Firewall」カテゴリの最新記事

コメント