2009年 春期 応用情報技術者試験 問9

ファイアウォールの設定

Q社のネットワーク構成を図1に示す。なお，図中のリモートアクセスサーバは，現在はまだ設置されていない。また，WebサーバAは，外部のサーバである。

Q社では，次の情報セキュリティポリシンに基づいて，ファイアウォールの設定など を行っている。

【情報セキュリティポリシン】 ・インターネットからは，自社のWebサーバ及びメールゲートウェイサーバあての通信のほか，社内LANからインターネット上のWebサーバを参照したときの応答の通信を通過させる。

・社内LANからは，電子メールを送受信するための通信及びインターネット上のWebサイトを参照するための通信だけを許可する。

・インターネットへ送信する電子メールは，メールサーバからメールゲートウェイサーバを経由して送信される。また，インターネットから受信した電子メールはメールゲートウェイサーバを経由し，直ちにメールサーバに転送される。

・ファイアウォール1及び2のアクセスログを毎日チェックし，異常なアクセスがあれば，その対応策を検討するとともに，ファイアウォールの設定変更などを行う。

ファイアウォール1及び2における通信制御のための設定は，次のとおりである。

【ファイアウォール1の設定】 (1) 静的パケットフィルタリング機能

インターネットからaへの通信，及び社内LANからインターネットへの通信は，いずれも送信先IPアドレス，送信先ポート番号及びプロトコルを参照して，アクセスを制御している。また，bから社内LANへの通信は，次の動的パケットフィルタリング機能によって通過させるもの以外，すべて遮断する。

(2) 動的パケットフィルタリング機能

社内LAN上のクライアントPCから，TCPを使ったインターネット上のWebサイト参照に関しては，フィルタリングテーブルが表のように設定されている。クライアントPCから図1のWebサーバAを参照した際の応答のパケットを通過させるため，例えばクライアントPC（192.168.10.5）からフィルタリングテーブルの行番号10によって許可されるパケットを送信すると，動的パケットフィルタリング機能では行番号10と行番号20の間に行番号15の行を挿入する。行番号15の行は，TCPセッションの終了パケット受信後に削除する。

(3) ステートフルインスペクション機能

社内LANからインターネット上のサイトを参照したときの応答のパケットを通過させる際に，パケットの順番を管理するTCPヘッダのシーケンス番号の妥当性を確認して通過させる。これによって，eの脅威からネットワークを防御する。

【ファイアウォール2の設定】 (1) 静的パケットフィルタリング機能

メールゲートウェイサーバとメールサーバ間の通信は，双方向とも許可する。それ以外の通信は，f及びDMZ上のサーバからgへは，次の動的パケットフィルタリング機能によって通過させるもの以外，すべて遮断し，gからは，いずれも送信先IPアドレス，送信先ポート番号及びプロトコルを参照して許可するか遮断するかを決定する。

(2) 動的パケットフィルタリング機能

ファイアウォール1の設定と同様の設定を適用する。

(3) IPアドレスの変換機能

社内LANからインターネットへの同時複数通信を可能にするために，NAPTを利用して，プライベートIPアドレスからグローバルIPアドレスへ変換する。これは，グローバルIPアドレス数の不足を解消するとともに，hという効果も実現している。

【アクセスログの監視記録】

アクセスログを基に，ある日にファイアウォール1で遮断された通信を送信元IPアドレス別に分析し，図2のようなレポートを作成した。この結果から，iの危険性が認められるので，ファイアウォールの設定を見直した。

【携帯電話を経由したリモートアクセス接続計画】

Q社では，営業活動の効率を上げるために，営業員にノートPCを携帯させ，携帯電話を経由して社内LANにアクセスできる環境を構築することを計画している。その際のセキュリティ対策は，次のとおりである。

・複数の営業員からの同時接続を可能にするために，ダイヤルアップ接続に利用するリモートアクセスサーバをDMZに3台設置する。同サーバには認証機能をもたせず，社内LANに設置されているjで認証を行う。これによって，認証情報の安全性を確保するとともに，kを可能にする。

・ファイアウォール2では，リモートアクセスサーバとj及びリモートアクセスを許可された社内LAN上のサーバとの通信を許可するように，パケットフィルタリングの設定を追加する。