https://www.ap-siken.com/kakomon/30_haru/pm05.html

設問3（３）FWの設定ですが、解答の通りだと社内LANからのアクセスも遮断してしまい保守できなくなる気がするのですが、そんなことありませんか？

この投稿は投稿者により削除されました。(2023.08.08 07:51)

この投稿は投稿者により削除されました。(2023.08.08 08:08)

ACLに書く、宛先IPアドレスがLB（負荷分散装置）かWebサーバそのもので、送信元IPアドレスがWAFサービスのIPアドレスかFQDNなら、プロトコルはHTTPかHTTPSを指定しているわけで（解説でプロトコルまで触れてないけど、想像は容易につく）、
社内だろうがWebサイトに入りたければ（HTTPでアクセスする場合）WAFを経由しろ、というわけで、
資産のデプロイとかの保守で入るときは、プロトコルにHTTPかHTTPSを使うわけじゃないですよね。資産置くならSFTPとか、サーバ入るにしてもSSHとか使うじゃないですか。

LBで送信元IP（WAFサービスのIPアドレスかFQDN→LB）と宛先IP（LBの仮想IP（LBが複数あるから、仮想IPを振っていると想定）→振り分け先のWebサーバの実IP）が書き変わるからどうなんだよ、となるかもしれませんが、FWの中なのでそこは規制がかからないですね。

>超初学者さん
機種にも依るところはありますが、ルータやスイッチに設定するACLとFWに設定するACLは若干異なります。

あるFWだと、ゾーンという概念が存在します。
例えば、「external」「DMZ」「internal」のような感じです。

そして、「external」→「DMZ」向けのACL、「DMZ」→「internal」向けのACL、「internal」→「DMZ」向けのACLのように、細かい制御が可能です。

つまり、今回問われているのは、「external」→「DMZ」のACLの中で、元々送信元がインターネット全般（any）、宛先がWebサイト、プロトコルがhttp/httpsだったものを、送信元をanyからWAFのIPアドレス、FQDNにするということだと思います。

このため、超初学者さんが気にされている、「internal（社内LAN）」→「DMZ」の通信への影響は無いものと考えます。

如何でしょうか。

＞GinSanaさん

回答ありがとうございます。
確かにメンテナンスなどにhttp/httpsプロトコルは使わないですね。
頭から抜けていました。

＞犬。さん

ご回答ありがとうございます。
ゾーンの切り分けが設定できるなら、通信の方向性を区別して各々設定すれば良いですね。

お二人ともありがとうございました。
大変勉強になりました。