SSL-VPN装置導入時のFWルール設定【ネットワークスペシャリスト試験 平成29年度 秋期 午後1 問1 No.2】

ネットワークスペシャリスト試験 平成29年度 秋期 午後1 問1 No.2

【出典:ネットワークスペシャリスト試験 平成29年度 秋期 午後1 問1(一部、加工あり)】

問1 SSL-VPNの導入に関する次の記述を読んで、設問1〜4に答えよ。
(略)
【SSL-VPN装置の導入のための検討】
 Sさんは、SSL-VPN装置導入のための具体的な項目の検討を行った。検討結果は、次のとおりである。

  1. SSL-VPN装置の設置位置
    1. 顧客からインターネット経由でVPN接続することと、開発LANからVPN接続することを考慮して、SSL-VPN装置の設置位置はDMZとL3SWの間とする。
    2. SSL-VPN装置から内部LANへの通信用に、L3SWに新たなVLAN(VLAN201)を設け、SSL-VPN装置の内側のインタフェースをL3SWに接続する。PCから顧客システム構築ネットワークへのアクセス経路が「PC→SSL-VPN装置→VLAN201→顧客システム構築ネットワーク」となるように経路を設定する。
  2. SSL-VPN装置へのユーザに関する情報登録
    1. SSL-VPN装置に、VPNを利用するユーザに関する情報(以下、ユーザ情報という)を登録する。ユーザ情報には、VPN接続時のユーザ認証のための情報も含まれる。
    2. ユーザ情報中の設定項目であるグループ番号には、そのユーザに対応する顧客番号を設定する。顧客番号は、顧客ごとに割り当てられている1以上100以下の整数である。以下、この整数をκで表す。
  3. IPアドレスの割当て
    1. 顧客番号κの顧客(以下、顧客κという)に対応する顧客システム構築ネットワーク:172.16.z.0/24(ここで、zは99+κとする)
    2. 顧客κに対応するVPN接続PC用IPアドレスプール:10.100.κ.1〜10.100.κ.200
    3. VPN接続時には、認証されたユーザに対応する顧客番号を用いて、IPアドレスプールを選択する。
  4. FWのルール設定

 SSL-VPN導入後のFWのルールは、表1のとおり設定する。

カ:内部LAN、キ:DMZ、ク:172.16.0.0/16

 FWを通過するアクセス経路としては、基本的には「内部LAN→DMZ」「DMZ→インターネット」「インターネット→DMZ」となります。
 このうち2行目、3行目で定義されていないのは「内部LAN→DMZ」であり、1行目の宛先IPアドレス:202.y.44.0/28は図2からDMZであることが分かるので、これは「内部LAN→DMZ」のアクセス経路となります。
 送信元IPアドレスには、内部LANの172.16.0.0/16が該当します。

ケ:202.y.44.2/32

 3行目はアクセス経路が「インターネット→DMZ」であり、DMZに追加されたSSL-VPN装置が宛先であることは想像がつきます。
 プロトコル/宛先ポートが「TCP/443」とあり、問題文には該当するSSL-VPN装置で利用しているポート番号についての説明はありませんが、一般的に「TCP/443」と考えて良さそうです。
 したがって、SSL-VPN装置のIPアドレスである「202.y.44.2/32」が該当します。


【検討後のネットワーク構成】
 Sさんは、更に検討を進め、図2に示すネットワーク構成を作成した。