令和3年秋期試験問題 午前Ⅱ 問6
問6解説へ
ファイアウォールにおけるステートフルパケットインスペクションの特徴はどれか。
- IPアドレスの変換が行われることによって,内部のネットワーク構成を外部から隠蔽できる。
- 暗号化されたパケットのデータ部を復号して,許可された通信かどうかを判断できる。
- 過去に通過したリクエストパケットに対応付けられる戻りのパケットを通過させることができる。
- パケットのデータ部をチェックして,アプリケーション層での不正なアクセスを防止できる。
正解 ウ問題へ
分野 :テクノロジ系
中分類:セキュリティ
小分類:情報セキュリティ対策
中分類:セキュリティ
小分類:情報セキュリティ対策
広告
解説
ステートフルインスペクションは、ダイナミックパケットフィルター方式とも呼ばれ、ファイアウォールを通過する個々のセッションの状態を管理し、その情報に基づき動的にポートを開閉することで詳細なアクセス制御を行うファイアウォールの方式です。ステートフル(stateful)とは、システムが一連のセッション状態を保持し、個々の通信とセッション情報を照らし合わせて処理を決定する方式や考え方をいいます。
静的なフィルタリングテーブルでは、1つの通信に対して発信パケットと戻りパケットの両方を登録しておかなければなりませんが、ステートフルインスペクション方式の初期フィルタリングテーブルには、通信の開始時に使われるパケットのみを通過許可ルールとして設定しておきます。
実際に通信要求があると、接続要求に対する応答、それに付随するコネクションなどの通信を許可する一時的なルールが自動的にフィルタリングテーブルに追加されます。さらに通信後のセッション終了に伴い、追加された一時的ルールは破棄されます。
この仕組みにより、ルール設定の平易化、およびフィルタリングテーブルの不備を悪用した不正アクセスや順序関係の矛盾したパケットの通過を防止するセキュリティ効果が期待できます。したがって適切な記述は「ウ」です。
静的なフィルタリングテーブルでは、1つの通信に対して発信パケットと戻りパケットの両方を登録しておかなければなりませんが、ステートフルインスペクション方式の初期フィルタリングテーブルには、通信の開始時に使われるパケットのみを通過許可ルールとして設定しておきます。
実際に通信要求があると、接続要求に対する応答、それに付随するコネクションなどの通信を許可する一時的なルールが自動的にフィルタリングテーブルに追加されます。さらに通信後のセッション終了に伴い、追加された一時的ルールは破棄されます。
この仕組みにより、ルール設定の平易化、およびフィルタリングテーブルの不備を悪用した不正アクセスや順序関係の矛盾したパケットの通過を防止するセキュリティ効果が期待できます。したがって適切な記述は「ウ」です。
- NAT機能及びNAPT機能の特徴です。
- 復号機能は持ちません。
- 正しい。ステートフルパケットインスペクションの特徴です。
- アプリケーションゲートウェイ型ファイアウォールやWAFの特徴です。パケットフィルター型はデータ部のチェックを行いません。
広告