情報処理安全確保支援士試験 情報セキュリティスペシャリスト試験 平成26年度春期 午前Ⅱ 問6: ファイアウォールにおけるダイナミックパケットフィルタリングの特徴はどれか。
←情報セキュリティスペシャリスト試験 平成26年度春期 午前Ⅱ
におけるダイナミックの特徴はどれか。
選択肢
- ア.IPアドレスの変換が行われるので,ファイアウォール内部のネットワーク構成を外部から隠蔽できる。
- イ.暗号化されたパケットのデータ部を復号して,許可された通信かどうかを判断できる。
- ウ.パケットのデータ部をチェックして,アプリケーション層での不正なアクセスを防止できる。
- エ.戻りのパケットに関しては,過去に通過したリクエストパケットに対応付けられるものだけを通過させることができる。
正解
エ. 戻りのパケットに関しては,過去に通過したリクエストパケットに対応付けられるものだけを通過させることができる。
解説
ダイナミックパケットフィルタリングは通信の状態を記憶するステートフルインスペクション方式。内部から出た要求を記録し、その応答に対応する戻りパケットだけを動的に許可する。これにより不要な穴を開けずに通信を成立させられる。エが正解。実務では現在のファイアウォールの標準的な動作原理である。
選択肢ごとの解説
- ア.IPアドレス変換による内部隠蔽はNATの機能で、状態追跡を行うダイナミックフィルタリングとは別物のため誤り。
- イ.暗号データを復号して判定するのはSSLインスペクション等の機能で、パケットフィルタの動作ではなく誤り。
- ウ.データ部を検査しアプリ層攻撃を防ぐのはWAFやIPSの役割で、パケットフィルタの特徴ではないため誤り。
- エ.過去の要求に対応付く戻りパケットだけを通す状態追跡こそダイナミックフィルタリングの特徴であり正しい。
情報セキュリティスペシャリスト試験 平成26年度春期 午前Ⅱ の過去問一覧へ戻る・問6