パケットフィルタリングに関する次の記述を読んで,設問1,2に答えよ。
X 社では,図に示すネットワークを構築し,インターネットへの Web サイトの公開と 電子メール(以下,メールという)の送受信を行っている。
図 X 社のネットワーク構成
X 社のネットワークは二つのファイアウォールによって,DMZ 及び社内 LAN の二つの セグメントに分けられている。Web サーバ,メールサーバ及び データベースサーバ(以下,DB サーバという)は,それぞれ次の役割を果たしている。
(1) Web サーバ
Web サイトとして,自社の情報をインターネットに公開する。Web サーバ上では, 社外との取引情報を処理するプログラムが動作する。このプログラムが 利用するデータは DB サーバ上に格納される。
(2) メールサーバ
社外とのメールの送受信を行う。また,取引先に対してメールを自動配信するプログラムが動作する。 メール配信のためのデータは DB サーバ上に格納される。
(3) DB サーバ
Web サーバ及びメールサーバで利用するデータを格納する。
社内 LAN に接続された管理用 PC からは,SSH を使った各サーバへのログイン操作と, メールサーバを介した外部とのメール送受信が可能である。 管理用 PC から自社 Web サーバの参照はできるが,社外 Web サイトの利用は許可されていない。
ネットワーク上で使われるプロトコルとポート番号を表1に示す。
| サービス | プロトコル | ポート番号 |
| Web | HTTP | 80 |
| メール転送 | SMTP | 25 |
| セキュアシェル(遠隔ログイン) | SSH | 22 |
| メール受信 | POP3 | 110 |
| DB アクセス | DB 専用 | 1999 |
設問1 次の記述中の 
に入れる正しい答えを,解答群の中から選べ。
解答は重複して選んでもよい。
インターネットと DMZ をつなぐファイアウォール A のパケットフィルタリングの設定を表2に示す。 また,DMZ と社内 LAN をつなぐファイアウォール B のパケットフィルタリングの設定を表3に示す。
フィルタリングの設定ルールは,送信元の IP アドレス,あて先の IP アドレス及び接続先ポート番号を 指定して通信の許可/拒否を制御する。設定は上の行のルールから調べて,最初に条件が合致した行の動作を実行する。 また,応答パケットについては動的フィルタリング機能によって自動的に許可されるので設定は不要なものとする。
| 条件 | 動作 | ||
| 送信元 | あて先 | ポート番号 | |
| 任意 | Web サーバ | 80 | 許可 |
| 任意 | メールサーバ | 25 | 許可 |
 | 任意 |  | 許可 |
| 任意 | 任意 | 任意 | 拒否 |
| 条件 | 動作 | ||
| 送信元 | あて先 | ポート番号 | |
| Web サーバ | DB サーバ | 1999 | 許可 |
| メールサーバ | DB サーバ | 1999 | 許可 |
| 管理用 PC |  |
 | 許可 |
| 管理用 PC | メールサーバ | 22 | 許可 |
| 管理用 PC | メールサーバ | 25 | 許可 |
| 管理用 PC | Web サーバ | 80 | 許可 |
| 管理用 PC | Web サーバ | 22 | 許可 |
| 任意 | 任意 | 任意 | 拒否 |
a,c に関する解答群
エ メールサーバ オ 任意
設問2 X 社のネットワークでは,ファイアウォールによるパケットフィルタリングによって, インターネット接続に伴うセキュリティ上のリスクを低減しているが, パケットフィルタリングは,すべての脅威に対する防御とはならない。 パケットフィルタリングによって防ぐことができるセキュリティ上のリスクとして, 正しい答えを解答群の中から二つ選べ。
解答群
イ Web サイトへの SQL インジェクション攻撃
ウ インターネットから DMZ 内のサーバへの許可されていないポートでの接続
エ インターネットから社内 LAN への不正アクセスによる攻撃
オ メールによる社内からのファイル流出
[←前の問題] [次の問題→] [問題一覧表] [分野別] [基本情報技術者試験TOP ]
