問題
1 台のファイアウォールによって、外部セグメント、DMZ、内部セグメントの三つのセグメントに分割されたネットワークがあり、このネットワークにおいて、Web サーバと、重要なデータをもつデータベースサーバから成るシステムを使って、利用者向けの Web サービスをインターネットに公開する。インターネットからの不正アクセスから重要なデータを保護するためのサーバの設置方法のうち、最も適切なものはどれか。ここで、Web サーバではファイアウォールを越えた通信のリクエスト処理を行い、ファイアウォールは、外部セグメントと DMZ との間、及び DMZ と内部セグメントとの間の通信は特定のプロトコルだけを許可し、外部セグメントと内部セグメントとの間の直接の通信は許可しないものとする。
選択肢
- 1Web サーバとデータベースサーバを DMZ に設置する。
- 2Web サーバとデータベースサーバを内部セグメントに設置する。
- 3Web サーバを DMZ に、データベースサーバを内部セグメントに設置する。
- 4Web サーバを外部セグメントに、データベースサーバを DMZ に設置する。
正解
3. Web サーバを DMZ に、データベースサーバを内部セグメントに設置する。
詳しい解説を見る解説を閉じる
解説
インターネットに公開するWebサーバは外部からのアクセスを直接受けるため、内部ネットワークから隔離した緩衝地帯であるDMZに置く。一方、重要データを保持するデータベースサーバは外部から直接到達できない内部セグメントに置き、DMZのWebサーバとの間だけ特定プロトコルでの通信を許可する。こうすればWebサーバが侵害されても、外部から内部のDBへ直接アクセスできず重要データを保護できる。よって「ウ」が最も適切。DBをDMZや外部に置くア・エ、Webサーバを内部に置くイは、いずれも保護が不十分または公開要件を満たさない。(出典: 令和元年度 秋期 基本情報技術者試験 午前 問42)
一問一答
科目A 180問+科目B 60問