① ルール優先順位(最重要)
問題:
以下のルールがあるとき、通信はどうなる?
- deny TCP any → 192.168.1.10:80
- allow TCP 203.0.113.5 → 192.168.1.10:80
👉 答え:拒否される
ポイント
- 上から順に適用
- 最初に一致した時点で終了
② ステートフルインスペクション
問題:
内部PCが外部Webにアクセスしたとき、戻り通信は?
👉 答え:許可される
ポイント
- セッションを記録している
- 戻り通信は自動許可
③ NATとNAPTの識別
問題:
複数の内部IPが1つのグローバルIPを共有して通信する方式は?
👉 答え:NAPT(IPマスカレード)
④ DMZ配置問題
問題:
公開Webサーバはどこに配置する?
👉 答え:DMZ
ポイント
- 内部ネットワークを守るため分離
⑤ ログ読解(頻出)
問題:
deny TCP 192.168.1.5 → 198.51.100.10:25
👉 答え:メール送信(SMTP)が拒否
ポイント
- 25番ポート=SMTP
⑥ ポート番号問題
問題:
HTTPS通信で使うポート番号は?
👉 答え:443
よく出るセット:
- 80:HTTP
- 443:HTTPS
- 25:SMTP
- 110:POP3
- 53:DNS
⑦ パケットフィルタ vs プロキシ
問題:
通信内容までチェックできるのはどれ?
👉 答え:アプリケーションゲートウェイ(プロキシ)
⑧ デフォルトポリシー
問題:
セキュリティを高める設定はどれ?
👉 答え:デフォルト拒否(deny all)
ポイント
- 必要な通信だけ許可
⑨ 内部からの攻撃対策
問題:
内部PCがマルウェア感染し外部に攻撃している。防ぐ方法は?
👉 答え:内部→外部の通信制御(アウトバウンド制御)
アウトバウンド制御
クラウド(AWS等)やネットワーク内で、サーバーから外部への不要な通信を制限し、データ流出やマルウェア感染を防ぐセキュリティ対策です。
⑩ DMZ経由の通信制御
問題:
インターネット → 内部DBに直接アクセスできる構成は安全か?
👉 答え:NG
正解構成:
インターネット → DMZ(Web) → 内部(DB)
🎯 試験で差がつくコツ
① 「通信の向き」を必ず見る
- 内→外
- 外→内
👉 これだけで正答率かなり上がる
② 「どの層か」を意識
- パケットフィルタ → L3/L4
- プロキシ → L7
③ ログ問題は「翻訳ゲーム」
例:
192.168.1.10 → 8.8.8.8:53
👉 DNS通信(一番後ろの数字に注目)
🔥 最短攻略まとめ
これだけ覚える:
- ルールは上から評価
- NAPT=多対1
- DMZに公開サーバ
- ステートフル=戻り通信OK
- ポート番号(80 / 443 / 25 / 53)
コメント