情報処理安全確保支援士試験 情報処理安全確保支援士試験 平成30年度春期 午前Ⅱ 問6: ファイアウォールにおけるダイナミックパケットフィルタリングの特徴はどれか。
←情報処理安全確保支援士試験 平成30年度春期 午前Ⅱ
におけるダイナミックの特徴はどれか。
選択肢
- ア.IP アドレスの変換が行われるので,ファイアウォール内部のネットワーク構成を外部から隠蔽できる。
- イ.暗号化されたパケットのデータ部を復号して,許可された通信かどうかを判断できる。
- ウ.過去に通過したリクエストパケットに対応付けられる戻りのパケットを通過させることができる。
- エ.パケットのデータ部をチェックして,アプリケーション層での不正なアクセスを防止できる。
正解
ウ. 過去に通過したリクエストパケットに対応付けられる戻りのパケットを通過させることができる。
解説
ダイナミック(ステートフル)パケットフィルタリングは、通過した通信のセッション状態を記録し、内部から出た要求に対応する戻りパケットだけを動的に許可する方式。静的フィルタのように戻り口を広く開けずに済む。これを述べたウが正しい。実務では戻り通信用ポートの常時開放を避けられ、フィルタ設定の安全性が高まる。
選択肢ごとの解説
- ア.内部構成を隠すIPアドレス変換はNATの機能で、ダイナミックパケットフィルタリングの特徴ではない。
- イ.暗号化データ部を復号して判断するのは復号機能をもつ機器の話で、パケットフィルタの役割ではない。
- ウ.通過した要求に対応する戻りパケットを動的に通すステートフルな動作で、正しく正解。
- エ.データ部を検査しアプリ層の不正を防ぐのはWAFやアプリケーションゲートウェイの機能で別物。
情報処理安全確保支援士試験 平成30年度春期 午前Ⅱ の過去問一覧へ戻る・問6