【H22秋AP午後問9】

検疫システム：セキュリティ対策の検査を行い、セキュリティ対策が不十分な端末を社内ネットワークに接続させず、隔離したり、必要なセキュリティ対策を施したりする機能をもつ。

１．認証と検疫の処理の流れ

1. 所属VLANが設定されていないエリアのPCは、それぞれのエリア内のL2SWの空きポートに接続されると、L2SWやL3SWを介して、a「RADIUS」サーバと限定的に通信し、端末認証を受ける。PCから送られたユーザの認証情報をaサーバが受信すると、aサーバは、ユーザ情報をb「ディレクトリ」サーバに問い合わせ、ユーザ認証を行う。ユーザ認証がc「失敗」したPCは、引き続き、VLANが設定されないままとなる。
2. ユーザ認証がd「成功」したPCの所属VLANを、検疫エリアに配置されたサーバと同じくe「検疫用VLAN」に設定して、そのPCを隔離する。
3. 検疫サーバによる検査行われ、不合格となったPCは、検査が合格となるまでeに隔離され、検疫サーバによってセキュリティパッチや設定変更が行われる。さらにウィルス対策サーバによってウィルスチェックが行われる。
4. 検査が合格となったPCは、bサーバに登録された所属VLANIDに従い、検疫システムによって、所属するVLANが割り当てられる。
5. 所属するVLANを割り当てられたPCが、h「DHCP」サーバにIPアドレスを要求すると、hサーバは、VLANIDに応じたIPアドレスを動的に割り当てる。IPアドレスが割り当てられたPCは、社内ネットワークを利用することができる。

3の検査を隔離して行う理由

⇒　ウィルスなどの二次感染の範囲を限定できるから