応用情報技術者 2019年 春期 午前2 問44
問題文
パケットフィルタリング型ファイアウォールが、通信パケットの通過を許可するかどうかを判断するときに用いるものはどれか。
選択肢
ア:Webアプリケーションに渡されるPOSTデータ
イ:送信元と宛先のIPアドレスとポート番号(正解)
ウ:送信元のMACアドレス
エ:利用者のPCから送信されたURL
パケットフィルタリング型ファイアウォールの判断基準【午前2 解説】
要点まとめ
- 結論:パケットフィルタリング型ファイアウォールは送信元と宛先のIPアドレスおよびポート番号を基に通信の許可・拒否を判断します。
- 根拠:このファイアウォールはOSI参照モデルのネットワーク層とトランスポート層の情報を参照し、パケット単位で制御を行うためです。
- 差がつくポイント:WebアプリケーションのデータやMACアドレス、URLなどはパケットフィルタリングの対象外であり、これらはより高度なファイアウォールやプロキシで扱われます。
正解の理由
イ: 送信元と宛先のIPアドレスとポート番号が正解です。パケットフィルタリング型ファイアウォールは、IPヘッダの送信元・宛先IPアドレス、TCP/UDPのポート番号を参照し、設定されたルールに基づいてパケットの通過を許可または拒否します。これにより、ネットワーク層とトランスポート層の情報を使って通信制御を行います。
よくある誤解
パケットフィルタリング型ファイアウォールはパケットの中身(ペイロード)を解析しないため、WebアプリケーションのPOSTデータやURLの内容を判断材料にしません。また、MACアドレスはデータリンク層の情報であり、ルーターを跨ぐ通信では変わるため制御に使いません。
解法ステップ
- ファイアウォールの種類を確認し、パケットフィルタリング型であることを理解する。
- パケットフィルタリング型はOSI参照モデルのどの層の情報を使うかを思い出す。
- IPアドレスとポート番号がネットワーク層・トランスポート層の情報であることを確認する。
- 他の選択肢(POSTデータ、MACアドレス、URL)がどの層の情報かを整理し、パケットフィルタリングの対象外であることを判断する。
- 送信元と宛先のIPアドレスとポート番号を選択する。
選択肢別の誤答解説
- ア: Webアプリケーションに渡されるPOSTデータ
→ これはアプリケーション層のデータであり、パケットフィルタリング型ファイアウォールは内容を見ずに制御するため対象外です。 - イ: 送信元と宛先のIPアドレスとポート番号
→ 正解。ネットワーク層とトランスポート層の情報を基に制御します。 - ウ: 送信元のMACアドレス
→ MACアドレスはデータリンク層の情報であり、ルーターを跨ぐ通信では変わるためパケットフィルタリングでは使いません。 - エ: 利用者のPCから送信されたURL
→ URLはアプリケーション層の情報であり、パケットフィルタリング型ファイアウォールの判断材料にはなりません。
補足コラム
パケットフィルタリング型ファイアウォールは高速でシンプルな制御が可能ですが、通信内容の詳細な検査はできません。より高度な制御が必要な場合は、ステートフルインスペクション型やアプリケーション層ファイアウォール(プロキシ型)を利用します。MACアドレスによる制御は主にLAN内のスイッチングハブやブリッジで行われます。
FAQ
Q: パケットフィルタリング型ファイアウォールは通信内容を検査できますか?
A: いいえ。パケットのヘッダ情報のみを参照し、通信内容(ペイロード)は検査しません。
A: いいえ。パケットのヘッダ情報のみを参照し、通信内容(ペイロード)は検査しません。
Q: MACアドレスはなぜファイアウォールの制御に使われないのですか?
A: MACアドレスは同一ネットワーク内でのみ有効で、ルーターを跨ぐと変わるため、広域ネットワークの制御には適しません。
A: MACアドレスは同一ネットワーク内でのみ有効で、ルーターを跨ぐと変わるため、広域ネットワークの制御には適しません。
関連キーワード: パケットフィルタリング、ファイアウォール、IPアドレス、ポート番号、ネットワーク層、トランスポート層
\ せっかくなら /
応用情報技術者を
クイズ形式で学習しませんか?
クイズ画面へ遷移する→
すぐに利用可能!