マイクロソフト認定技術資格試験「MCP/MCSEラーニングブック」

70-293:Planning and Maintaining a Microsoft Windows Server 2003 Network Infrastructure 編

5-1.ネットワークプロトコルセキュリティ

宮本 寿夫/澤村 孝太郎
2004/2/5

 本記事は、@ITハイブックスシリーズ『マイクロソフト認定技術資格試験 MCP/MCSEラーニングブック−70-293:Planning and Maintaining a Microsoft Windows Server 2003 Network Infrastructure 編−』(技術評論社発行)より、一部の問題を許可を得て転載したものです。同書籍に関する詳しい情報については、「@ITハイブックス」サイトでご覧いただけます。
 
ほかの問題へ
  問題 05-01-01 入力フィルタと出力フィルタ
問題 05-01-02 インターネット接続ファイアウォール
  問題 05-01-03 IPセキュリティポリシー
  問題 05-02-01 トンネリングプロトコル
  問題 05-02-02 VPNセッションの管理
 

問題 05-01-02 インターネット接続ファイアウォール

 あなたは組織のネットワーク管理者です。現在、ネットワークは20台のWindows XP Professionalコンピュータと3台のWindows Server 2003コンピュータで構成されており、Windows Server 2003コンピュータではインターネット接続の共有が有効になっています。プライベートネットワークで新規にWebサーバとFTPサーバを構成しました。

 インターネットからこれらのサーバにアクセスできるようにしたいと思います。また、公開するサーバ以外のコンピュータ(インターネット接続の共有を実行するコンピュータも含め)が外部からの不正なアクセスを受けないようにしたいと思います。

 これらを実現するために最適なものを選択してください。

(単一選択)

  インターネット接続の共有を無効にし、ルーティングとリモートアクセスからNATを構成する。入力フィルタと出力フィルタの設定をそれぞれ行う。
  インターネット接続の共有を実行するWindows Server 2003コンピュータ上でインターネット接続ファイアウォールを有効にする。
  インターネット接続の共有を実行するWindows Server 2003のコンピュータのパブリックインターフェイスでTCP/IPフィルタリングを有効にし、あて先ポート80、21、20のもののみ接続を許可するようにする。
  インターネット接続の共有を無効にする。公開するWebサーバとFTPサーバでインターネット接続のためのデマンドダイヤルインターフェイスを作成する。

 Windows Server 2003では、ルーティングとリモートアクセスから設定する入力フィルタや出力フィルタ以外の機能でも、パケットの制御を行うことができます。インターネット接続ファイアウォールは、ルーティングとリモートアクセスを有効にしなくても利用できる簡易ファイアウォールの機能で、インターフェイスごとに受信するパケットのあて先ポート番号を指定できます。

 設定は、各インターフェイスのプロパティから行います(図5-4)。

図5-4 インターネット接続ファイアウォールの設定

 インターネット接続ファイアウォールを構成すると、内部ネットワークはもとより、ファイアウォールを構成するコンピュータへのすべてのパケットが破棄されるようになります。

図5-5 パケットを受信するあるいは内部のサーバに転送する設定

 インターネット接続ファイアウォールを有効にすることにより、拒否したパケットや受信したパケットのログを取ることも可能です。

POINT

  インターネット接続の共有を使用している環境では、ネットワークのセキュリティを確保するための手段として、インターネット接続ファイアウォールを使用するのが最も効果的です。ルーティングとリモートアクセスの入力フィルタや出力フィルタを使用することも可能ですが、いったんインターネット接続の共有を無効にし、ルーティングとリモートアクセスを構成するなど設定が煩雑になります。

 TCP/IPのプロパティから設定できるTCP/IPフィルタリングの機能では不正なパケットを拒否することは可能ですが、必要に応じて内部のサーバに転送するといった処理が行えないため、インターネットから内部のWebサーバやFTPサーバにアクセスできません。

 内部にサーバを構成する場合は、必要に応じて通信を通過させることもできます。また、受信したパケットを内部のサーバに転送することも可能です(図5-5)。これらの設定の要領は、インターネット接続の共有で内部サーバを公開するための手順とまったく同様です。

KEYWORD

 ステートフルパケットインスペクション

 ファイアウォールが通過するパケットの情報を記憶し、その情報に基づいてパケットの通過や破棄を自動的に制御する機能です。

 例えば、組織内のクライアントがHTTPによってインターネットのWebサーバにWebページを要求した場合、Webサーバからの応答であるWebページのデータなどはインターネット接続ファイアウォールを越えて、問題なくクライアントに到達します。これは、インターネット接続ファイアウォールがステートフルパケットインスペクションによってクライアントからの接続を記憶しており、その応答のパケットを通過するよう制御しているためです。

 したがって、インターネット接続ファイアウォールではファイアウォールの構成を特別にカスタマイズしなくても、組織内のクライアントが送信した要求に対する応答のパケットはファイアウォールを通過することができるようになっています。

正 解(05-01-02)
 B

 
前の問題へ   次の問題へ


マイクロソフト認定技術資格試験「MCP/MCSEラーニングブック」

本記事は、@ITハイブックスシリーズ『マイクロソフト認定技術資格試験 MCP/MCSEラーニングブック−70-293:Planning and Maintaining a Microsoft Windows Server 2003 Network Infrastructure 編−』(技術評論社発行)より、一部の問題を許可を得て転載したものです。同書籍に関する詳しい情報については、「@ITハイブックス」サイトでご覧いただけます。


Security&Trust記事一覧


Security&Trust フォーラム 新着記事
@ITメールマガジン 新着情報やスタッフのコラムがメールで届きます(無料)
- PR -

注目のテーマ

Security & Trust 記事ランキング

本日 月間
ソリューションFLASH