サイトアイコン やさしいネットワークとセキュリティ

【ネットワークスペシャリスト試験 令和元年度 秋期 午後1 問2 No.3】

ネットワークスペシャリスト試験 令和元年度 秋期 午後1 問2

【出典:ネットワークスペシャリスト試験 令和元年度 秋期 午後1 問2(一部、加工あり)】

[WAFサービス停止時の対応検討]
 Uさんは、障害などでWAFサービスを1日以上利用できなくなった場合に備え、対応を検討した。WAFサービス停止期間中も、オンラインショップでの商品販売を継続させたい。Uさんは、WAFサービスを経由せずに、利用者のWebブラウザとWebシステム間で直接通信させるために、WAFサービス導入時に設定変更を予定している()の④設定を変更することと、図2中の⑤資源レコードの1行を書き換えることで対応できると考えた。
 Uさんは、WebAPのアクセスログについて、WAFサービスの有無にかかわらず、XFFヘッダの情報からWebシステムへのアクセス時の送信元IPアドレスを記録することとし、⑥LBに設定を追加した。

 その後、Webシステムの構成変更に関するUさんの報告書は経営会議で承認され、導入の準備を開始した。

(カ)に入れる機器を、図3中のDNSサーバ以外の機器名で答えよ。:FW

 WAFサービス停止時にはWAFサービスを経由しない通信となることを前提に、図3(構成変更後のWebシステム(抜粋))を見て、通信経路を確認しましょう。
 インターネットからのアクセスは、FWとLBを経由してWebサーバに接続します。
 FWとLBで、WAFサービス導入についての設定を確認すると、「Uさんは、FWに設定しているWebシステムへのHTTPS通信に関するアクセス制御について、IP-w2を送信元とする通信だけを許可するように、設定を変更することにした」とあります。
 LBについては、WAFサービス導入による設定変更の記述はありません。
 したがって、設定変更が必要となるのはFWになります。

下線④の変更内容を35字以内で答えよ。:任意のIPアドレスからWebシステムへのHTTPS通信を許可する。

 上記のとおり、FWの設定変更内容としては、インターネット(任意のIPアドレス)からWebシステムへのHTTPS通信を許可することになります。

下線⑤について、書換え後の資源レコードを答えよ。:shop IN A 199.α.β.2

 DNSの現状設定において、WebシステムへのアクセスはCNAMEレコードで「shop IN CNAME waf-asha.tsha.net.」となっていて、WAFサービスを指定しています。
 WAFサービス経由ではなく、直接LBのIPアドレスを指定するようにするには、Aレコードで「shop IN A 199.α.β.2」と指定すればいいです。

下線⑥の設定内容を、30字以内で答えよ。:XFFヘッダに送信元IPアドレスを追加する設定

 まず、現状のXFFヘッダの付与はどのように行っているかを確認します。
 すると問題文に「WAFサービスは、アクセスを許可したHTTPリクエストの送信元IPアドレスを、HTTPヘッダのX-Forwardes-Forヘッダフィールド(以下、XFFヘッダという)に追加する」とあり、WAFサービスによって付与されていることがわかります。
 そこでWAFサービスを経由しない通信においてもXFFヘッダに送信元IPアドレスを付与するには、LBで付与すればいいと考えられます。
 LBの機能として問題文に「A社が導入するLBは、・・・HTTPヘッダの編集(追加、変更、削除)機能を持っている」とあり、問題なさそうです。
 

モバイルバージョンを終了