情報処理安全確保支援士試験 情報処理安全確保支援士試験 平成29年度秋期 午前Ⅱ 問9: ステートフルインスペクション方式のファイアウォールの特徴はどれか。
←情報処理安全確保支援士試験 平成29年度秋期 午前Ⅱ
ステートフル方式のの特徴はどれか。
選択肢
- ア.Web クライアントと Web サーバとの間に配置され,リバースプロキシサーバとして動作する方式であり,Web クライアントからの通信を目的の Web サーバに中継する際に,通信に不正なデータがないかどうかを検査する。
- イ.アプリケーションプロトコルごとにプロキシソフトウェアを用意する方式であり,クライアントからの通信を目的のサーバに中継する際に,通信に不正なデータがないかどうかを検査する。
- ウ.特定のアプリケーションプロトコルだけを通過させるゲートウェイソフトウェアを利用する方式であり,クライアントからのコネクションの要求を受け付けて,目的のサーバに改めてコネクションを要求することによって,アクセスを制御する。
- エ.パケットフィルタリングを拡張した方式であり,過去に通過したパケットから通信セッションを認識し,受け付けたパケットを通信セッションの状態に照らし合わせて通過させるか遮断するかを判断する。
正解
エ. パケットフィルタリングを拡張した方式であり,過去に通過したパケットから通信セッションを認識し,受け付けたパケットを通信セッションの状態に照らし合わせて通過させるか遮断するかを判断する。
解説
ステートフルインスペクションは、パケットフィルタリングを拡張し、TCP/UDPの通信セッションの状態を記憶して判断するファイアウォール方式。一度許可した内向き通信に対応する戻りパケットだけを動的に通す一方、状態に合わないパケットは遮断する。よってエが正しい。単純なパケットフィルタより安全で、アプリケーションゲートウェイより高速なため、現在の多くのファイアウォールの基本動作となっている。
選択肢ごとの解説
- ア.Web通信を中継し内容を検査するのはリバースプロキシ型WAFの説明で、本方式ではなく誤り。
- イ.プロトコルごとにプロキシを置く方式はアプリケーションゲートウェイの説明であり誤り。
- ウ.コネクションを張り直して中継する方式はサーキットレベルゲートウェイ系で、本方式ではなく誤り。
- エ.パケットフィルタを拡張しセッション状態に照らして通過可否を判断する本方式の特徴どおりで正解。
情報処理安全確保支援士試験 平成29年度秋期 午前Ⅱ の過去問一覧へ戻る・問9