情報処理技術者試験の午後問題を通じて、ネットワークの知識を体系的に蓄積していきましょう。

　キーワードに加え、設計や障害対応能力をシミュレーションできる良い学びの場ですので、試験合格はもちろん、ネットワークスペシャリストとなった後も能力向上のために学習できるいい機会です。

　今回は、「SSL-VPN装置導入時のFWルール設定」を取り上げた「ネットワークスペシャリスト試験 平成29年度 秋期 午後1 問1 設問3」です。

　問題文中、設問に該当する部分ですぐに解答を説明しています。

　ストーリーとして何度も読みこなすと、自然に記憶に定着してくると思います。

ネットワークスペシャリスト試験 平成29年度 秋期 午後1 問1 設問3

問1　SSL-VPNの導入に関する次の記述を読んで、設問1〜4に答えよ。

（略）

【SSL-VPN装置の導入のための検討】

　Sさんは、SSL-VPN装置導入のための具体的な項目の検討を行った。検討結果は、次のとおりである。

（1）SSL-VPN装置の設置位置

・顧客からインターネット経由でVPN接続することと、開発LANからVPN接続することを考慮して、SSL-VPN装置の設置位置はDMZとL3SWの間とする。

・SSL-VPN装置から内部LANへの通信用に、L3SWに新たなVLAN（VLAN201）を設け、SSL-VPN装置の内側のインタフェースをL3SWに接続する。PCから顧客システム構築ネットワークへのアクセス経路が「PC→SSL-VPN装置→VLAN201→顧客システム構築ネットワーク」となるように経路を設定する。

（2）SSL-VPN装置へのユーザに関する情報登録

・SSL-VPN装置に、VPNを利用するユーザに関する情報（以下、ユーザ情報という）を登録する。ユーザ情報には、VPN接続時のユーザ認証のための情報も含まれる。

・ユーザ情報中の設定項目であるグループ番号には、そのユーザに対応する顧客番号を設定する。顧客番号は、顧客ごとに割り当てられている1以上100以下の整数である。以下、この整数をκで表す。

（3）IPアドレスの割当て

・顧客番号κの顧客（以下、顧客κという）に対応する顧客システム構築ネットワーク：172.16.z.0/24（ここで、zは99+κとする）

・顧客κに対応するVPN接続PC用IPアドレスプール：10.100.κ.1〜10.100.κ.200

・VPN接続時には、認証されたユーザに対応する顧客番号を用いて、IPアドレスプールを選択する。

（4）FWのルール設定

　SSL-VPN導入後のFWのルールは、表1のとおり設定する。

カ：内部LAN、キ：DMZ、ク：172.16.0.0/16

　FWを通過するアクセス経路としては、基本的には「内部LAN→DMZ」「DMZ→インターネット」「インターネット→DMZ」となります。

　このうち2行目、3行目で定義されていないのは「内部LAN→DMZ」であり、1行目の宛先IPアドレス：202.y.44.0/28は図2からDMZであることが分かるので、これは「内部LAN→DMZ」のアクセス経路となります。

　送信元IPアドレスには、内部LANの172.16.0.0/16が該当します。

ケ：202.y.44.2/32

　3行目はアクセス経路が「インターネット→DMZ」であり、DMZに追加されたSSL-VPN装置が宛先であることは想像がつきます。

　プロトコル/宛先ポートが「TCP/443」とあり、問題文には該当するSSL-VPN装置で利用しているポート番号についての説明はありませんが、一般的に「TCP/443」と考えて良さそうです。

　したがって、SSL-VPN装置のIPアドレスである「202.y.44.2/32」が該当します。

【検討後のネットワーク構成】

　Sさんは、更に検討を進め、図2に示すネットワーク構成を作成した。

【出典：ネットワークスペシャリスト試験 平成29年度 秋期 午後1 問1（一部、加工あり）】

https://www.jitec.ipa.go.jp/1_04hanni_sukiru/mondai_kaitou_2017h29_2/2017h29a_nw_pm1_qs.pdf