平成18年 テクニカルエンジニア(ネットワーク) 午後Ⅰ 問2 ネットワークシステムの改善 設問3
平成18年 テクニカルエンジニア(ネットワーク) 午後Ⅰ問題
目次
解答
(1) 平行稼働期間中に従来の方法に戻すことが容易
(2) 設定変更1:
プロキシサーバからインターネット上のWebサーバとの通信の許可
設定変更2:
PCからインターネット上のWebサーバとの直接通信の禁止
解説
(1)
クライアントPC側でユーザにいろんな設定をやってもらおうとすると、設定ミスや設定漏れなどで、すべてのクライアントPCに同じような設定を施すのが難しいことがあります。
このようなとき、自動設定にすれば、設定ミスや設定漏れを防止して、クライアントPCに同じ設定を行うことが簡単になります。設定の自動化のメリットは、通常はこういったことを挙げます。
ただし、この問題の導入計画として、従来のWebサクセスとプロキシサーバ経由のWebアクセスを平行稼働させる期間を設けています。ですから、平行稼働期間に注目して、解答を考える方がよいでしょう。
プロキシサーバ経由のWebアクセスに何らかの問題が発生した場合、自動設定ファイルを消去しておけば、クライアントPCは直接インターネット上のWebサーバへアクセスするようにできます。
(2)
ファイアウォールの設定を考えるときには、通信フローをきちんと把握することがポイントです。従来のWebアクセスの通信フローを図に示すと、次のようになります。
図 11 従来のWebアクセス
ファイアウォールでは、PCのプライベートアドレスをグローバルアドレスに変更するNAPTを行っています。また、PCからインターネット上のWebサーバへHTTPを許可するためのフィルタリング条件が設定されているはずです。
次に、プロキシサーバ経由のWebアクセスについて通信フローを考えましょう。
図 12 プロキシサーバ経由のWebアクセス
この場合、ファイアウォールのフィルタリング条件として次のような条件が必要になります。
- PCからプロキシサーバへの通信の許可
内部ネットワークからDMZへの通信は基本的に禁止していることが多いです。そのためPC(内部ネットワーク)からプロキシサーバへの通信を許可する必要があります。 - プロキシサーバからWebサーバへの通信の許可
新しく導入したプロキシサーバからインターネット上のWebサーバへHTTPで通信できるようにフィルタリング条件を定義します。
では、問題で問われているファイアウォールの設定変更1、設定変更2を考えましょう。
設定変更1は、プロキシサーバを導入した後のファイアウォールの設定変更です。
図12の部分で触れたように、普通は
- PCからプロキシサーバへの通信の許可
- プロキシサーバからWebサーバへの通信の許可
の2点の設定変更が必要ですが、40字で両方とも書くのは厳しいです。メインは、プロキシサーバからWebサーバへの通信の許可なので、こちらを40字でまとめます。
設定変更2は、完全にプロキシサーバ経由のWebアクセスへと移行したあとのファイアウォールの設定変更です。プロキシサーバ経由のWebアクセスへと完全に移行したのであれば、PCから直接のインターネット上のWebアクセスは必要ないはずです。ファイアウォールのフィルタリング条件は、必要のない通信は止めることが基本です。設定変更2ではPCからの直接のインターネット上のWebアクセスの禁止を40字以内でまとめるとよいでしょう。
参考URL
特になし
※ それにしても、この会社は300台ものPCを全部無線LAN、しかもIEEE802.11bにしているのか・・・30台ぐらいが1つのAPに接続しているようなので、Web見るのもちょっと辛そうだぞ・・・平成18年度(2006年)だったら、普通に無線LANの機器買ったら、もうIEEE802.11b/g/aが当たり前なのに。もっとマシな改善を計画した方がいいよ・・・
