令和元年秋期試験問題 午前問42
問42解説へ
1台のファイアウォールによって,外部セグメント,DMZ,内部セグメントの三つのセグメントに分割されたネットワークがあり,このネットワークにおいて,Webサーバと,重要なデータをもつデータベースサーバから成るシステムを使って,利用者向けのWebサービスをインターネットに公開する。インターネットからの不正アクセスから重要なデータを保護するためのサーバの設置方法のうち,最も適切なものはどれか。ここで,Webサーバでは,データベースサーバのフロントエンド処理を行い,ファイアウォールでは,外部セグメントとDMZとの間,及びDMZと内部セグメントとの間の通信は特定のプロトコルだけを許可し,外部セグメントと内部セグメントとの間の直接の通信は許可しないものとする。
- WebサーバとデータベースサーバをDMZに設置する。
- Webサーバとデータベースサーバを内部セグメントに設置する。
- WebサーバをDMZに,データベースサーバを内部セグメントに設置する。
- Webサーバを外部セグメントに,データベースサーバをDMZに設置する。
正解 ウ問題へ
広告
解説
DMZ(DeMilitarized Zone,非武装地帯)は、Webサーバ・メールサーバ・プロキシサーバなどのように外部セグメント(インターネット)からアクセスされる可能性のある情報資源を設置するための、外部でも内部でもない中間的な位置に存在するセグメントです。インターネットと内部セグメントおよびDMZは、ルータやファイアウォールで隔てられています。
外部からのアクセスを受け付ける公開サーバを内部セグメントに設置すると、攻撃を受けた際の被害が内部セグメントの他のサーバに波及する恐れがあります。Webサーバは外部セグメントからのアクセスを受け付けるので、被害発生時の影響範囲を最小限に抑えるためにDMZに設置すべきです。一方、利用者向けのサービスに係るデータベースサーバへのアクセスは全てWebサーバを介して行われるため、データベースサーバには外部セグメントから直接アクセスさせる必要はありません。このため内部セグメントに設置します。
したがって「ウ」が適切な組合せです。
外部からのアクセスを受け付ける公開サーバを内部セグメントに設置すると、攻撃を受けた際の被害が内部セグメントの他のサーバに波及する恐れがあります。Webサーバは外部セグメントからのアクセスを受け付けるので、被害発生時の影響範囲を最小限に抑えるためにDMZに設置すべきです。一方、利用者向けのサービスに係るデータベースサーバへのアクセスは全てWebサーバを介して行われるため、データベースサーバには外部セグメントから直接アクセスさせる必要はありません。このため内部セグメントに設置します。
したがって「ウ」が適切な組合せです。
広告