最頻出!ファイアーウォールの問題!
今度は、SSL/VPN接続した後、どのような通信を行うかです。特にファイアーウォールのフィルタリングルールに関してで、毎回おなじみの主題形式となっています。ここは絶対落とすことはできません!
設問3:表1中の【 カ 】~【 ケ 】に入れる適切な字句を答えよ。
FWルール問題出たー!この試験を受ける方は「FWを設定したことがある」という方が多いかもしれません。(仕事をしていない学生さんはすみません。)必ず1問は出るので、絶対覚えてください。
【 カ 】、【 キ 】、【 ク 】
FWルール問題の中でも、元先のネットワーク名を書かせる問いが必ず出ます。表1の1行目がそれにあたります。それで、表1の下の図2を見ると、そこには新しく必要になる通信が点線で書いてあるので、「あ、【
カ 】は「開発LAN」で【 キ 】は「SSL-VPN装置」ね!」と回答しがちです。
しかし、宛先IPアドレスを見ると「202.y.44.0/28」とあります。あれ、なぜ「202.y.44.2/32」じゃないんんだ!と気づいた方。かなり正解に近いです。
もう1つ通信を忘れておりました。問題文の冒頭に「H社は内部LANからインターネットへのWebアクセスを、DMZのプロキシサーバを経由して行っている」と記載がありました。なるほど。これをまとめると、【 カ 】はもっと広いネットワークで、「内部LAN」となりそうです。また、【 キ 】は、DMZです。さらに、【 ク 】は図2を見ると「172.16.0.0/16」とあるので、それが正解になりそうです。
答え:【 カ 】:内部LAN、【 キ 】:DMZ、【 ク 】:172.16.0.0/16
【 ケ 】
表1の3行目の通信です。アクセス経路が「インターネット → DMZ」とあります。あと「プロトコル/宛先ポート」が「TCP/443」です。今SSL-VPNの問題を解いているので、そう、SSL-VPN装置のアドレスです。ただし、表中の他のアドレスがCIDR表記なのを忘れずに!
答え:202.y.44.2/32
因みにFWルール問題の注意事項です。TCP/IPの通信には、ご存知の通り行きと帰りがあります。ネットワークスペシャリストに出てくるFWは、行きの通信に合わせて帰りの通信を判断してフィルタ透過します。ベンダごとに違いはあるようですが、ステートフルインスペクションとか動的フィルタリングとか言うようです。両社の違いは、いろいろと読んだのですが、私の知識・経験では説明できませんでした。。すみませんが、詳しくはまたググッて下さい。(私にも教えてください。)
あと、私の説明でもよく「このネットワークが…」といいますが、この「ネットワーク」という言葉。わたくしはL2通信できる範囲で使っています。なので、ルータやL3スイッチ、FWで区切られて分割されたアドレス体系の一部を指しています。間違えていたらすみません。こちらも正しい使い方があったら、だれか教えてください。