基本情報技術者 2009年秋期午前（科目A）問44

問題文

社内ネットワークとインターネットの接続点にパケットフィルタリング型ファイアウォールを設置して、社内ネットワーク上のPCからインターネット上のWebサーバ(ポート番号80)にアクセスできるようにするとき、フィルタリングで許可するルールの適切な組合せはどれか。

選択肢

ア：

イ：（正解）

ウ：

エ：

パケットフィルタで社内PCからWebサーバへアクセス許可するルール【午前2 解説】

要点まとめ

結論：社内PC発信は送信元ポートが1024以上、宛先ポートが80、応答はその逆（送信元80、宛先1024以上）を許可するルールが正解です。
根拠：TCPクライアントはエフェメラルポート（通常1024以上）を送信元に使い、Webサーバは固定のサービスポート80で応答するためです。
差がつくポイント：パケットフィルタはステートレス扱いと仮定し両方向ルールを明示する必要があり、送受信でポート役割を混同しないこと。

正解の理由

正解はイです。社内PC→Webサーバ（発信）ではクライアントがエフェメラルポート（1024以上）を送信元ポートとして使い、宛先ポートはサーバの80。サーバ→クライアント（応答）ではサーバ側が送信元ポート80、クライアント側の宛先ポートが1024以上になります。パケットフィルタリング型ファイアウォール（状態を保持しない）では、この両方向の組合せを明示的に許可する必要があるため、イの組合せが適切です。

よくある誤解

「送信だけ許可すれば応答は返ってくる」はステートレスなパケットフィルタでは成り立たない場合が多いです。
クライアントの送信元ポートを80だと誤認すると、ルールが逆になりトラフィックが遮断されます。

解法ステップ

要求を整理：社内PC→外部Web（HTTP: TCP/80）へのアクセスを許可する。
TCPのポート役割を確認：サーバ側はサービスポート（80）、クライアントはエフェメラルポート（1024以上）。
ファイアウォールの種類を確認：パケットフィルタ（ステートレス）なら発信・応答それぞれ許可ルールが必要。
条件に合う選択肢を照合：発信（PC→Web、送元1024以上、宛先80）と応答（Web→PC、送元80、宛先1024以上）を探す。
該当する組合せを選択：イがこれに一致するため正解。

選択肢別の誤答解説

ア：発信／応答のポート指定が逆転または混同しており、クライアント側が送信元に80を使う形になっているため誤り。
イ：発信がPCの送信元1024以上→宛先80、応答がWebの送信元80→宛先1024以上となり正しい。
ウ：発信・応答ともに送信元/宛先ポートの割り当てが不適切で、クライアントとサーバの役割が逆転している。
エ：一方の向きは合っていてももう一方が逆になっており、双方向での正常なTCP通信を成立させられない。

補足コラム

エフェメラルポートの範囲はOSや設定により差があり得ますが、問題文の通例として1024以上を想定します。
ステートフルファイアウォール（コネクション追跡あり）では、アウトバウンドの発信だけ許可すれば応答が自動で許可されることが多く、設定が簡略化できます。
NATをはさむ環境では、内部のエフェメラルポートが外部で別のポートに変換されるため、ファイアウォール規則はNAT後のポートを意識する必要があります。

FAQ

Q: 発信ルールだけで応答は自動的に通るのでは？
A: ステートレスなパケットフィルタでは通りません。状態追跡がないため応答パケットも明示的に許可する必要があります。

Q: エフェメラルポートは必ず1024以上ですか？
A: 多くの環境で1024以上ですが、OSや設定で範囲が異なるため運用環境で確認が必要です。

Q: HTTPS（443）の場合どう変わりますか？
A: 宛先ポートを80ではなく443に置き換え、応答は送信元443→宛先1024以上を許可すれば同じ考え方でOKです。

関連キーワード: パケットフィルタ, ファイアウォール, TCPポート, エフェメラルポート, ステートフル検査, NAT, ACL

← 前の問題へ次の問題へ →

\ せっかくなら /

基本情報技術者を
クイズ形式で学習しませんか？

クイズ画面へ遷移する→

すぐに利用可能！