WWWサーバを社内に移動するときのＦWの設定変更について

セキュリティアドミニストレーター受験予定者です。
ある参考書の問題に次のような話がありました。
DMZのWWWサーバから社内ＤＢへアクセスする際、ポート番号がパケットのたびに変わるのでファイアウォールで通らないときがある。その対策として、WWWをDMZから内部ＬＡＮへ移動するとよい。しかし、WWWサーバの公開用アドレスから社内用アドレスに変換が必要なため、WWWサーバに新しく付与したＩＰに対してファイアウォールのフィルタリング設定を行う必要がある。
と書かれていました。しかし少し意味が分かりません。。質問は・・・
１．DMZにあるときはWWWには公開用アドレスのみ持っていて社内用アドレスは持っていなかったというのは間違いないでしょうか？
２．外部インターネットとWWWサーバは今までどおり公開用アドレスでやりとりするのでその設定に変更はないが、たとえば内部クライアントとWWWがやりとりするときに内部アドレスを使用するのでその設定が必要？ということでしょうか？
３．しかし２の場合、ファイアウォールは通らないので設定が必要ないように思えますが必要となる理由は何でしょうか？
初心者的な質問ですみませんがよろしくお願いします。

No.2 ベストアンサー 回答者： pakuti 回答日時： 2008/09/07 11:53

内部に持ってきたWWWサーバに対してNATをかけて80番ポートを通すと言う事でしょう。

DMZをプライベートアドレスで運用してグローバルIPとの1対1NATにする場合などもあります。
直接グローバルIPの場合もあるでしょう。

前提条件が何かしら書かれていると思われます。
問題文を読む限りでは、元はグローバルIPでプライベートIPに変更したので
そのプライベートIP用にフィルタリングの設定が必要ですよ
と言う事でしょう。

No.1 回答者： peachfish 回答日時： 2008/09/07 06:54

私はセキュアドを持っておりませんのでご了承ください。

WWWサーバは公開用アドレスから社内用アドレスに設定し直します。
公開用アドレスをF/Wに付加して、静的NATで社内用アドレスを付加したWWWサーバに転送するのではないですか？
ただ、外部から内部に対してリーチャブルに接続される問題がありますので、セキュアド的にOKかどうかはわかりません。