平成18年 テクニカルエンジニア(ネットワーク) 午後Ⅰ 問2 ネットワークシステムの改善 設問3


平成18年 テクニカルエンジニア(ネットワーク) 午後Ⅰ問題


解答

(1) 平行稼働期間中に従来の方法に戻すことが容易
(2) 設定変更1:
プロキシサーバからインターネット上のWebサーバとの通信の許可
設定変更2:
PCからインターネット上のWebサーバとの直接通信の禁止

解説

(1)

クライアントPC側でユーザにいろんな設定をやってもらおうとすると、設定ミスや設定漏れなどで、すべてのクライアントPCに同じような設定を施すのが難しいことがあります。
このようなとき、自動設定にすれば、設定ミスや設定漏れを防止して、クライアントPCに同じ設定を行うことが簡単になります。設定の自動化のメリットは、通常はこういったことを挙げます。

ただし、この問題の導入計画として、従来のWebサクセスとプロキシサーバ経由のWebアクセスを平行稼働させる期間を設けています。ですから、平行稼働期間に注目して、解答を考える方がよいでしょう。

プロキシサーバ経由のWebアクセスに何らかの問題が発生した場合、自動設定ファイルを消去しておけば、クライアントPCは直接インターネット上のWebサーバへアクセスするようにできます。

(2)

ファイアウォールの設定を考えるときには、通信フローをきちんと把握することがポイントです。従来のWebアクセスの通信フローを図に示すと、次のようになります。

H18TENW_11.png
図 11 従来のWebアクセス

ファイアウォールでは、PCのプライベートアドレスをグローバルアドレスに変更するNAPTを行っています。また、PCからインターネット上のWebサーバへHTTPを許可するためのフィルタリング条件が設定されているはずです。

次に、プロキシサーバ経由のWebアクセスについて通信フローを考えましょう。

H18TENW_12.png
図 12 プロキシサーバ経由のWebアクセス

この場合、ファイアウォールのフィルタリング条件として次のような条件が必要になります。

  • PCからプロキシサーバへの通信の許可
    内部ネットワークからDMZへの通信は基本的に禁止していることが多いです。そのためPC(内部ネットワーク)からプロキシサーバへの通信を許可する必要があります。
  • プロキシサーバからWebサーバへの通信の許可
    新しく導入したプロキシサーバからインターネット上のWebサーバへHTTPで通信できるようにフィルタリング条件を定義します。

では、問題で問われているファイアウォールの設定変更1、設定変更2を考えましょう。

設定変更1は、プロキシサーバを導入した後のファイアウォールの設定変更です。
図12の部分で触れたように、普通は

  • PCからプロキシサーバへの通信の許可
  • プロキシサーバからWebサーバへの通信の許可

の2点の設定変更が必要ですが、40字で両方とも書くのは厳しいです。メインは、プロキシサーバからWebサーバへの通信の許可なので、こちらを40字でまとめます。

設定変更2は、完全にプロキシサーバ経由のWebアクセスへと移行したあとのファイアウォールの設定変更です。プロキシサーバ経由のWebアクセスへと完全に移行したのであれば、PCから直接のインターネット上のWebアクセスは必要ないはずです。ファイアウォールのフィルタリング条件は、必要のない通信は止めることが基本です。設定変更2ではPCからの直接のインターネット上のWebアクセスの禁止を40字以内でまとめるとよいでしょう。

参考URL

特になし

※ それにしても、この会社は300台ものPCを全部無線LAN、しかもIEEE802.11bにしているのか・・・30台ぐらいが1つのAPに接続しているようなので、Web見るのもちょっと辛そうだぞ・・・平成18年度(2006年)だったら、普通に無線LANの機器買ったら、もうIEEE802.11b/g/aが当たり前なのに。もっとマシな改善を計画した方がいいよ・・・