オリジナル予想問題6 問35
問35解説へ
WAFの説明として,適切なものはどれか。
- DMZに設置されているWebサーバへ外部から実際に侵入を試みる。
- WebサーバのCPU負荷を軽減するために,SSLによる暗号化と復号の処理をWebサーバではなく専用のハードウェア上で行う。
- システム管理者が質問に答える形式で,自組織の情報セキュリティ対策のレベルを診断する。
- 特徴的なパターンが含まれるかなどWebアプリケーションへの通信内容を検査して,不正な操作を遮断する。
正解 エ問題へ
分野:テクノロジ系
中分類:セキュリティ
小分類:セキュリティ実装技術
中分類:セキュリティ
小分類:セキュリティ実装技術
広告
解説
パケットフィルター型ファイアウォールは、通過するパケットのIPアドレスとポート番号を見て通過の可否を判断しますが、XSSやSQLインジェクション,OSコマンドインジェクションなどの正常なHTTPポート(80番)を通じて仕掛けられた攻撃は防ぐことができません。
WAF(Web Application Firewall)では、パケットのIPアドレスやポート番号だけでなくペイロード部(データ部分)をチェックすることで、ウェブアプリケーションに対するこれらの攻撃を検知し、遮断することが可能です。
WAF(Web Application Firewall)では、パケットのIPアドレスやポート番号だけでなくペイロード部(データ部分)をチェックすることで、ウェブアプリケーションに対するこれらの攻撃を検知し、遮断することが可能です。
- ペネトレーションテスト(侵入テスト)の説明です。
- SSLアクセラレータの説明です。
- リスク分析で用いられるインタビュー法の説明です。
- 正しい。WAFの説明です。
広告