① ク
顧客システムの通信はすべてSSL-VPN装置を経由すると思っていたのですが、
なぜFWを経由したDMZへの通信を許可する必要があるのでしょうか？
上記の必要がなければ"ク"は開発LANのみなのではないかと思ったからです。

② ケ
［H社の現行のネットワーク］に記載されている
「内部LANからプロキシサーバを経由したWebアクセス」の通信は許可しないのでしょうか？
記載がなければFWはステートフルインスペクションという事なのでしょうか？

ご教授いただければ幸いです。よろしくお願いいたします。

>① ク
P2に、「H社は、内部LANからインターネットへのWebアクセスを、DMZのプロキシサーバを経由して行っている。」の記載があります。開発LAN以外の社内PCからのインターネット通信は、プロキシサーバを経由する必要があることから、クは内部LAN全体のネットワークアドレス(172.16.0.0/16)になります。

>② ケ
クが内部LANのネットワークアドレスに当たることから、内部LANからDMZへは、プロキシサーバを含めて、任意のプロトコル・宛先ポートの通信は許可されることなります。

P2を誤読していました。
理解できました。ありがとうございます。