ネットワークスペシャリスト試験 令和元年度 秋期 午後1 問2
【出典:ネットワークスペシャリスト試験 令和元年度 秋期 午後1 問2(一部、加工あり)】
[WAFサービス停止時の対応検討]
Uさんは、障害などでWAFサービスを1日以上利用できなくなった場合に備え、対応を検討した。WAFサービス停止期間中も、オンラインショップでの商品販売を継続させたい。Uさんは、WAFサービスを経由せずに、利用者のWebブラウザとWebシステム間で直接通信させるために、WAFサービス導入時に設定変更を予定している(カ)の④設定を変更することと、図2中の⑤資源レコードの1行を書き換えることで対応できると考えた。
Uさんは、WebAPのアクセスログについて、WAFサービスの有無にかかわらず、XFFヘッダの情報からWebシステムへのアクセス時の送信元IPアドレスを記録することとし、⑥LBに設定を追加した。
その後、Webシステムの構成変更に関するUさんの報告書は経営会議で承認され、導入の準備を開始した。
(カ)に入れる機器を、図3中のDNSサーバ以外の機器名で答えよ。:FW
WAFサービス停止時にはWAFサービスを経由しない通信となることを前提に、図3(構成変更後のWebシステム(抜粋))を見て、通信経路を確認しましょう。
インターネットからのアクセスは、FWとLBを経由してWebサーバに接続します。
FWとLBで、WAFサービス導入についての設定を確認すると、「Uさんは、FWに設定しているWebシステムへのHTTPS通信に関するアクセス制御について、IP-w2を送信元とする通信だけを許可するように、設定を変更することにした」とあります。
LBについては、WAFサービス導入による設定変更の記述はありません。
したがって、設定変更が必要となるのはFWになります。
下線④の変更内容を35字以内で答えよ。:任意のIPアドレスからWebシステムへのHTTPS通信を許可する。
上記のとおり、FWの設定変更内容としては、インターネット(任意のIPアドレス)からWebシステムへのHTTPS通信を許可することになります。
下線⑤について、書換え後の資源レコードを答えよ。:shop IN A 199.α.β.2
DNSの現状設定において、WebシステムへのアクセスはCNAMEレコードで「shop IN CNAME waf-asha.tsha.net.」となっていて、WAFサービスを指定しています。
WAFサービス経由ではなく、直接LBのIPアドレスを指定するようにするには、Aレコードで「shop IN A 199.α.β.2」と指定すればいいです。
下線⑥の設定内容を、30字以内で答えよ。:XFFヘッダに送信元IPアドレスを追加する設定
まず、現状のXFFヘッダの付与はどのように行っているかを確認します。
すると問題文に「WAFサービスは、アクセスを許可したHTTPリクエストの送信元IPアドレスを、HTTPヘッダのX-Forwardes-Forヘッダフィールド(以下、XFFヘッダという)に追加する」とあり、WAFサービスによって付与されていることがわかります。
そこでWAFサービスを経由しない通信においてもXFFヘッダに送信元IPアドレスを付与するには、LBで付与すればいいと考えられます。
LBの機能として問題文に「A社が導入するLBは、・・・HTTPヘッダの編集(追加、変更、削除)機能を持っている」とあり、問題なさそうです。