情報処理安全確保支援士試験 情報処理安全確保支援士試験 令和元年度秋期 午前Ⅱ 問5: ファイアウォールにおけるダイナミックパケットフィルタリングの特徴はどれか。
←情報処理安全確保支援士試験 令和元年度秋期 午前Ⅱ
におけるダイナミックの特徴はどれか。
選択肢
- ア.IP アドレスの変換が行われるので,内部のネットワーク構成を外部から隠蔽できる。
- イ.暗号化されたパケットのデータ部を復号して,許可された通信かどうかを判断できる。
- ウ.過去に通過したリクエストパケットに対応付けられる戻りのパケットを通過させることができる。
- エ.パケットのデータ部をチェックして,アプリケーション層での不正なアクセスを防止できる。
正解
ウ. 過去に通過したリクエストパケットに対応付けられる戻りのパケットを通過させることができる。
解説
ダイナミックパケットフィルタリング(ステートフルインスペクション)は、通信のコネクション状態を記憶し、内部から出た要求に対応する戻りパケットだけを動的に許可する方式。よって過去に通過した要求に対応する応答を通すウが正解。アドレス変換はNAT、データ部の復号や検査はTLS終端やアプリ層FWの機能で別物。実務では一時的に必要なポートのみ開けるため、固定の穴を減らせる。
選択肢ごとの解説
- ア.アドレスを変換し内部構成を隠すのはNATの機能であり、状態管理を行う動的フィルタの特徴ではない。
- イ.暗号化データ部を復号して判断するのはTLS復号など別機能で、パケットフィルタリングの特徴ではない。
- ウ.通過した要求に対応する戻りパケットを動的に通す点がステートフルな動的フィルタの特徴で正解。
- エ.データ部を検査しアプリ層の不正を防ぐのはWAFやアプリケーションゲートウェイの役割で誤り。
情報処理安全確保支援士試験 令和元年度秋期 午前Ⅱ の過去問一覧へ戻る・問5