問43
1台のファイアウォールによって、外部セグメント、DMZ、内部セグメントの三つのセグメントに分割されたネットワークがある。このネットワークにおいて、Webサーバと、重要なデータをもつデータベースサーバから成るシステムを使って、利用者向けのサービスをインターネットに公開する場合、インターネットからの不正アクセスから重要なデータを保護するためのサーバの設置方法のうち、最も適切なものはどれか。ここで、ファイアウォールでは、外部セグメントとDMZとの間及びDMZと内部セグメントとの間の通信は特定のプロトコルだけを許可し、外部セグメントと内部セグメントとの間の直接の通信は許可しないものとする。
ア WebサーバとデータベースサーバをDMZに設置する。
イ Webサーバとデータベースサーバを内部セグメントに設置する。
ウ WebサーバをDMZに、データベースサーバを内部セグメントに設置する。
エ Webサーバを外部セグメントに、データベースサーバをDMZに設置する。
正解
ウ
解説
重要なデータをもつデータベースサーバは、内部セグメントに設置する。
Webサーバは外部からの利用者がアクセスするため、内部セグメントに設置すると、Webサーバが被害を受けた際に内部セグメント内のサーバにも被害が及ぶ可能性がある。従って、WebサーバはDMZ内に設置する。
なお、DMZ (DeMilitarized Zone = 非武装地帯) はインターネットと社内ネットワークなどのプライベートネットワークの間に設置されるセグメントのことである。
タグ:ファイアウォール