2011年 春期 応用情報技術者試験 問5

リバースプロキシサーバの導入

C社は，電話，インターネット及びテレビのサービスを一括して顧客に提供するCATV事業者である。

【現在のシステム構成】

C社では，日々の業務において，工事担当者が現場にいながらにして，作業予定の確認や作業報告ができるように，電話工事管理システム，インターネット工事管理システム及びテレビ工事管理システムという携帯電話端末用のWebシステムを導入し，業務効率向上を目指してきた。

現在のシステム構成を図1に示す。携帯電話端末は，携帯電話網とインターネットを接続するためのゲートウェイを経由して，インターネットに公開されたWebサーバにアクセスする。"www.example.com"は，FW1のインターネット側IPアドレスに割り付けられたドメイン名である。

電話工事管理システム，インターネット工事管理システム及びテレビ工事管理システムは同一のWebサーバ上に配置されており，通信時にはSSLを用いた暗号化が行われる。HTTPで用いるポート番号は80，HTTPSで用いるポート番号は443であり，Webサーバには第三者機関から取得したサーバ証明書がインストールされている。

FW1に到着したWebサーバへのアクセス要求のパケットのうち通信が許可されたもののだけが，ファイアウォールの静的アドレス変換の機能によって192.168.3.90に転送されるように設定されている。

Webシステムが利用するデータは，社内LAN内部のDBサーバに蓄積される。

電話工事管理システム，インターネット工事管理システム及びテレビ工事管理システムは，それぞれが独立したWebアプリケーションとして構築されている。Webアプリケーションを利用するにはログイン操作が必要であり，Webサーバ上のログインページのURLパスは表1のとおりである。

なお，URLパスとは，URL中のドメイン名より後の部分のことである。

各工事管理システムへの携帯電話端末以外からのアクセスを禁止するために，Webサーバにはアクセス制御の設定をしている。携帯電話端末以外から各工事管理システムにアクセスしようとしても，システムを利用することはできない。

なお，携帯電話端末からのアクセスか否かの判定は，Webサーバに通知される送信元IPアドレスを参照することで行われる。

【リバースプロキシサーバの導入】

リバースプロキシサーバは，インターネットからのアクセスを受け付け，アクセス時に指定されたURLに対応する別のサーバに通信を中継する，プロキシサーバの一種である。URLとサーバの対応は，あらかじめ設定されている。

C社では，セキュリティの強化とWebサーバの負荷分散のため，リバースプロキシサーバを導入してシステムを分散管理することにした。変更後のシステム構成を図2に示す。

変更後のシステム構成では，リバースプロキシサーバだけをDMZに配置し，それ以外のサーバは社内LANに配置する。

電話工事管理システム，インターネット工事管理システム及びテレビ工事管理システムは，それぞれ別々のWebサーバで運用する。ログインページのURLパスは，どの工事管理システムも共通で"login.html"とする。

FW1ではポート番号bの通信を，FW2ではポート番号cの通信を許可しておく。また，リバースプロキシサーバには，表2の設定をする。

現在のシステム構成（図1）では，Webサーバで携帯電話端末以外からのアクセスを禁止するアクセス制御を行っているが，①変更後のシステム構成（図2）では，各Webサーバ（192.168.5.201，192.168.5.202及び192.168.5.203）でアクセス制御を適切に行うことができない。そこで，②ファイアウォールのパケットフィルタに，携帯電話端末からのアクセス時に使用されるIPアドレスの範囲以外からの通信を禁止する設定を追加することで，アクセス制御を行うように変更した。

携帯電話端末から，インターネット工事管理システムのログイン画面にアクセスするときの処理の流れを次に示す。

(1) 携帯電話端末から，e://fにアクセスする操作が行われる。

(2) ゲートウェイを経由してe://fに対するアクセス要求が送信される。

(3) 静的アドレス変換の機能によって，通信はリバースプロキシサーバに転送される。

(4) リバースプロキシサーバは，設定に基づいてg://hにアクセスする。

(5) リバースプロキシサーバは，Webサーバから受け取った結果をゲートウェイに返す。

(6) ゲートウェイは，ログイン画面の表示内容を携帯電話端末に返す。