解説

データベースサーバをDMZから内部ネットワークに移動する際のファイアウォールルール変更【午前2 解説】

要点まとめ

• 結論：DBサーバをDMZから内部ネットワークに移動したため、運用管理PCからDBサーバへのSSH許可ルールは削除が必要です。
• 根拠：DBサーバの位置変更により、旧DBサーバ宛の通信ルールは不要となり、新しい内部ネットワーク側のDBサーバに対する通信ルールを適切に設定します。
• 差がつくポイント：ファイアウォールのステートフル検査では、通信の送信元・宛先・サービス（ポート）を正確に管理し、不要な許可ルールを残さないことが重要です。

正解の理由

よくある誤解

解法ステップ

1. ネットワーク構成の変更点を把握する（DBサーバがDMZから内部ネットワークへ移動）。
2. 変更前のファイアウォールルールを確認し、旧DBサーバ宛の通信ルールを特定する。
3. 変更後のDBサーバの位置に合わせて、新たに必要な通信ルールを追加する。
4. 旧DBサーバ宛の不要な通信ルールを削除する。
5. すべての通信が必要最小限に許可されているかを検証する。

選択肢別の誤答解説

• ア：インターネットからWebAPサーバへのHTTP許可ルールは変更不要です。WebAPサーバは引き続きDMZにあり、公開されるためこのルールは残します。
• イ：正解。旧DBサーバ宛のSSH許可ルールは削除が必要です。
• ウ：WebAPサーバから新しいDBサーバへのSSH許可ルール追加は不要です。DB接続はODBCを使用し、SSHは運用管理PCのみが使用します。
• エ：インターネットからWebAPサーバへのODBC許可ルール追加は誤りです。ODBC通信はWebAPサーバからDBサーバ間で行われ、インターネットから直接ODBC通信を許可する必要はありません。

補足コラム

FAQ