ネットワークスペシャリスト 2009年 午前2 問20
問題文
パケットフィルタリング型ファイアウォールのフィルタリングルールを用いて、本来必要なサービスに影響を及ぼすことなく防げるものはどれか。
選択肢
ア:外部に公開していないサービスへのアクセス(正解)
イ:サーバで動作するソフトウェアのセキュリティの脆弱性を突く攻撃
ウ:電子メールに添付されたファイルのマクロウイルスの侵入
エ:電子メール爆弾などのDoS攻撃
パケットフィルタリング型ファイアウォールのフィルタリングルールによる防御【午前2 解説】
要点まとめ
- 結論:パケットフィルタリング型ファイアウォールは、外部に公開していないサービスへのアクセスを防ぐことができる。
- 根拠:パケットフィルタリングはIPアドレスやポート番号などのヘッダ情報を基に通信を許可・拒否するため、不要なサービスへのアクセスを制限可能。
- 差がつくポイント:アプリケーション層の内容解析はできないため、脆弱性攻撃やウイルス、DoS攻撃の防御には不十分である点を理解すること。
正解の理由
ア: 外部に公開していないサービスへのアクセスが正解です。
パケットフィルタリング型ファイアウォールは、通信の送信元・宛先IPアドレスやポート番号を基に通信を制御します。公開していないサービスのポートを閉じることで、そのサービスへのアクセスを防げます。これにより、本来必要なサービスには影響を与えずに不要なアクセスを遮断可能です。
パケットフィルタリング型ファイアウォールは、通信の送信元・宛先IPアドレスやポート番号を基に通信を制御します。公開していないサービスのポートを閉じることで、そのサービスへのアクセスを防げます。これにより、本来必要なサービスには影響を与えずに不要なアクセスを遮断可能です。
よくある誤解
パケットフィルタリング型ファイアウォールは通信内容の深い解析ができないため、ウイルスやアプリケーションの脆弱性を突く攻撃を防げると誤解されがちです。
解法ステップ
- パケットフィルタリング型ファイアウォールの機能を確認する(IPアドレス・ポート番号による制御)。
- 各選択肢の攻撃手法を理解する(アクセス制御か内容解析か)。
- 防御可能な攻撃は「アクセス制御」で防げるものに限定されると判断する。
- 公開していないサービスへのアクセス制限はポート番号で制御可能と結論づける。
- 他の選択肢はアプリケーション層の攻撃やウイルスであり、防御困難と判断する。
選択肢別の誤答解説
- イ: サーバの脆弱性攻撃はアプリケーション層の問題であり、パケットフィルタリングでは防げません。
- ウ: マクロウイルスは電子メールの添付ファイル内のコードであり、パケットフィルタリングは内容を解析できません。
- エ: 電子メール爆弾などのDoS攻撃は大量の通信を伴うため、単純なパケットフィルタリングでは完全に防げません。
補足コラム
パケットフィルタリング型ファイアウォールはOSI参照モデルのネットワーク層やトランスポート層で動作し、通信のヘッダ情報を基に制御します。より高度な攻撃防御には、アプリケーション層の内容を解析する「アプリケーションゲートウェイ型ファイアウォール」や「IDS/IPS」の導入が必要です。
FAQ
Q: パケットフィルタリング型ファイアウォールはどの層で動作しますか?
A: 主にネットワーク層とトランスポート層で動作し、IPアドレスやポート番号を基に通信を制御します。
A: 主にネットワーク層とトランスポート層で動作し、IPアドレスやポート番号を基に通信を制御します。
Q: なぜマクロウイルスはパケットフィルタリングで防げないのですか?
A: マクロウイルスは電子メールの添付ファイル内のコードであり、パケットフィルタリングは通信内容の解析ができないため検出できません。
A: マクロウイルスは電子メールの添付ファイル内のコードであり、パケットフィルタリングは通信内容の解析ができないため検出できません。
関連キーワード: パケットフィルタリング、ファイアウォール、ネットワークセキュリティ、ポート制御、DoS攻撃、マクロウイルス
\ せっかくなら /
ネットワークスペシャリストを
クイズ形式で学習しませんか?
クイズ画面へ遷移する→
すぐに利用可能!