初級シスアド 平成19年度秋期試験 問題(午後問4)
問4 ネットワークのアクセス制御に関する次の記述を読んで,設問1,2に答えよ。
A社のネットワークの構成は,図のとおりである。インターネットとA社内のネットワーク(以下,社内ネットワークという)は,1台のブロードバンドルータ(以下,ルータという)によって接続されている。A社では,インターネットサービスプロバイダ(以下,ISPという)が提供するSMTPサーバ,POPサーバ及びDNSサーバを利用している。
また,A社では,Webを使って,顧客向けに自社製品の紹介や自社の案内を行っている。Webサーバには,ISPが提供するレンタルWebサーバ(以下,レンタルWebサーバという)を利用している。レンタルWebサーバ上のコンテンツの登録や編集を行うために.PC10を専用の管理端末(以下,コンテンツ管理端末という)としている。
A社で許可されているインターネットへの通信は,次のものに限られる。
| (1) | PC1〜PC10とISPのSMTPサーバとのSMTP通信 |
| (2) | PC1〜PC10とISPのPOPサーバとのPOP3通信 |
| (3) | PC1〜PC10とISPのDNSサーバとのDNS通信 |
| (4) | PC1〜PC10とインターネット上の外部のWebサーバとの,HTTP通信及びHTTPS通信 |
また,PC1〜PC10では,ISPのSMTPサーバとPOPサーバを介して,社内及び社外との電子メールの送受信が可能である。
設問1 社内ネットワークの構成や通信経路に関する次の記述中の[ ]に入れる適切な字句を,解答群の中から選べ。
社内ネットワークでは,サブネットマスクに255.255.255.0を,デフォルトゲートウェイに192.168.100.1を設定している。社内ネットワークのネットワークアドレスは[ a ],ネットワークアドレス部は[ b ]ビットである。
PC1からファイルサーバにアクセスする場合には,あて先から,[ c ]ことが分かる,。この場合のIPパケットは,あて先に直接送られることになる。また,同様にPC1からインターネット上の外部のWebサーバにアクセスする場合には,あて先から,[ d ]ことが分かる。この場合のIPパケットは,デフォルトゲートウェイに送られることになる。
aに関する解答群
| ア 192.0.0.0 | イ 192.168.0.0 | ウ 192.168.100.0 |
| エ 192.168.100.1 | オ 192.168.100.255 |
bに関する解答群
ア 8 イ 16 ウ 24 エ 32 オ 255
c,dに関する解答群
| ア | あて先と発信元のネットワークアドレスが一致する |
| イ | あて先と発信元のネットワークアドレスが異なる |
| ウ | あて先のIPアドレスがクラスBのアドレス体系である |
| エ | 発信元のIPアドレスが192.168.100.101である |
| オ | 発信元のIPアドレスがクラスCのアドレス体系である |
設問1の正解と解説へ
設問2 ファイアウォールの機能を使ったアクセス制御に関する次の記述中の[ ]に入れる適切な字句を,解答群の中から選べ。
A社のルータはファイアウォール機能をもち,ルータを通過するすべての通信に対して,発信元,あて先,利用プロトコル及び行きと戻りの区別を用いて,アクセス制御を行う。具体的には,アクセス制御の内容を記述した一覧(以下,アクセス制御リストという)の項目を上から順番に適用して,該当する項目があればその通信が通過することを許可する。
ルータに設定されたアクセス制御リストは,表1のとおりである。
| 番号 | 発信元 | あて先 | 利用プロトコル | 行き/戻り |
| 1 | 192.168.100.101〜110 | ISPのSMTPサーバ | SMTP | 行き |
| 2 | ISPのSMTPサーバ | 192.168.100.101〜110 | SMTP | 戻り |
| 3 | 192.168.100.101〜110 | ISPのPOPサーバ | POP3 | 行き |
| 4 | ISPのPOPサーバ | 192.168.100.101〜110 | POP3 | 戻り |
| 5 | 192.168.100.101〜110 | ISPのDNSサーバ | DNS | 行き |
| 6 | ISPのDNSサーバ | 192.168.100.101〜110 | DNS | 戻り |
| 7 | 192.168.100.101〜110 | インターネット | HTTP | 行き |
| 8 | インターネット | 192.168.100.101〜110 | HTTP | 戻り |
| 9 | 192.168.100.101〜110 | インターネット | HTTPS | 行き |
| 10 | インターネット | 192.168.100.101〜110 | HTTPS | 戻り |
| 11 | 1〜10以外はすべて通過禁止 | |||
さらに,コンテンツ管理端末であるPC10には,パーソナルファイアウォールが導入されている。パーソナルファイアウォールを導入することで,発信元やあて先にPC10上で稼働する特定のアプリケーションを指定することができる。これによって,意図しないアプリケーションによる通信をあらかじめ禁止するなど,より細かな制限を課すことができる。PC10のパーソナルファイアウォールが有するアクセス制御リストは,表2のとおりであり,例えば,同じHTTP通信であっても,[ e ]は許可されるが,[ f ]は,禁止される。
| 番号 | 発信元 | あて先 | 利用プロトコル | 行き/戻り |
| 1 | PC10の電子メールソフトA | すべて | SMTP | 行き |
| 2 | すべて | PC10の電子メールソフトA | SMTP | 戻り |
| 3 | PC10の電子メールソフトA | すべて | POP3 | 行き |
| 4 | すべて | PC10の電子メールソフトA | POP3 | 戻り |
| 5 | PC10の電子メールソフトA | すべて | DNS | 行き |
| 6 | すべて | PC10の電子メールソフトA | DNS | 戻り |
| 7 | PC10のWebブラウザB | すべて | HTTP | 行き |
| 8 | すべて | PC10のWebブラウザB | HTTP | 戻り |
| 9 | PC10のWebブラウザB | すべて | HTTPS | 行き |
| 10 | すべて | PC10のWebブラウザB | HTTPS | 戻り |
| 11 | PC10のWebブラウザB | すべて | DNS | 行き |
| 12 | すべて | PC10のWebブラウザB | DNS | 戻り |
| 13 | 1〜12以外はすべて通過禁止 | |||
また,PC10からインターネットへのアクセスを考えた場合,ルータのアクセス制御とパーソナルファイアウォールのアクセス制御との両方が課せられることになり,セキュリティはより厳しくなる。例えば,[ g ]と[ h ]はルータ上では許可されるが,パーソナルファイアウォール上では禁止される。
e,fに関する解答群
| ア | PC10のWebブラウザBからの通信 |
| イ | PC10の電子メールソフトAからの通信 |
g,hに関する解答群
| ア | PC10のWebブラウザBからのHTTP通信 |
| イ | PC10のWebブラウザBからのSSH通信 |
| ウ | PC10の業務ソフトCからのSMTP通信 |
| エ | PC10の電子メールソフトAからのHTTPS通信 |
| オ | PC10のファイル転送ソフトDからのFTP通信 |
設問2の正解と解説へ
メニューへ戻る