- PR -

ISAにおけるLANとDMZ

1
投稿者投稿内容
るーさま
ベテラン
会議室デビュー日: 2004/07/26
投稿数: 52
お住まい・勤務地: 江戸っ子・東京勤め
投稿日時: 2004-07-27 00:37
ハジメマシテ、るーさまと申します。
ネットワーク管理者なりたての新米ですが、以後宜しくお願い致します。

--------------【社内ネットワーク構成図】------------
インターネット

ISA----------Webサーバ【IIS】

社内LAN

WAN(グローバルIPアドレス)
DMZ(192で始まるプライベートアドレス)
LAN(172で始まるプライベートアドレス)
----------------------------------------------------

この状況でDMZにWeb以外のサーバを置いた時に要求をリダイレクトできるのでしょうか?
「Web公開ルール」では「HTTP, HTTPS, SSL」しかリダイレクトできず、
「サーバ公開ルール」ではDMZ内のサーバをリダイレクト先に選択できないのです。


で、それはマズイということでDMZを内部と認識させたとします。

すると、セグメントを分けた意味すらも失いかねませんし、
-------社内LAN⇔ISA⇔内部LAN(元DMZ)----------
の状態でISAのファイアウォールが利用できるかも疑問なのです。

特定の社員だけを元DMZ内のWebサーバにアクセスさせたいようなのです。


マニュアルや参考書を読んだのですが、ヒントらしいものもなく困っていました。
もしよろしければ皆様のお力をお貸しいただければと思います。

7/27 20:33 一部変更

[ メッセージ編集済み 編集者: るーさま 編集日時 2004-07-27 20:30 ]
きょ〜じゅ
ベテラン
会議室デビュー日: 2003/07/31
投稿数: 66
投稿日時: 2004-07-27 23:37
ベンダがWeb上で情報を載せてくれているのだから、先ずはそれを読んで勉強するのが良いと思いますが。

引用:

この状況でDMZにWeb以外のサーバを置いた時に要求をリダイレクトできるのでしょうか?
「Web公開ルール」では「HTTP, HTTPS, SSL」しかリダイレクトできず、
「サーバ公開ルール」ではDMZ内のサーバをリダイレクト先に選択できないのです。

特定の社員だけを元DMZ内のWebサーバにアクセスさせたいようなのです。


知りたい内容は上記2点でしょうか。
ISAサーバは使用したことがないですが、サーバ公開ルールにて次の通りやれば可能ではないでしょうか。

http://www.microsoft.com/japan/technet/prodtechnol/isa/proddocs/isadocs/m_p_c_pnatrule.asp

ちなみに"特定の社員だけを元DMZ内のWebサーバにアクセスさせたい"とは社内からでしょうか、社外からでしょうか。
# どちらだったにしろ私に回答できるのはココまでですが(笑)
るーさま
ベテラン
会議室デビュー日: 2004/07/26
投稿数: 52
お住まい・勤務地: 江戸っ子・東京勤め
投稿日時: 2004-07-28 01:00
きょ〜じゅ様、早速のご返信ありがとうございました。

ご紹介のページに似たようなMSのページなら既にかなりの数を見たのですが、
あのページは初見でして、私の探し方がマズカッタのかもしれません。
なんにせよ、これからはもう少し調べてから質問することにします。


「サーバ公開ルール」は使えないので別の手段を探していたのですが、
どうやら答えは「IPパケットフィルタ」だったようです。
(別件で使用した時はエラーが連発して結局使えなかったのですが・・・)

どちらにせよ、あのページを熟読してからもう一度会社で実験してみます。

なお、それが成功すればそのままDMZ内に配置して使用することになるので、
「特定の社員だけをアクセス可能にする方法」は既に学習済みです。
(内部LAN⇔内部LANの場合のファイアウォールのやり方が分からなかっただけなのです)

本当にアリガトウございました。
kaz
ぬし
会議室デビュー日: 2003/11/06
投稿数: 5403
投稿日時: 2004-07-31 08:47
おはようございます.

横槍ですが...

> 「特定の社員だけをアクセス可能にする方法」は既に学習済みです。
> (内部LAN⇔内部LANの場合のファイアウォールのやり方が分からなかっただけなのです)

ISA Server の firewall 機能で「user account による制限」が掛けられるのでしょうか?以前扱った際に「proxy は user auth できるけど,firewall は user auth できないから packet filter で client の ip address で決め打ち」と理解しました.差し支えなければ「firewall 機能で特定 user への接続許可」の方法をご提示いただけないでしょうか?

ちなみに proxy だけなら squid 同様に基本認証できたり,Windows 環境での利用を意図した Windows 統合認証できたりしますね.こちらの機能のことでしょうか?

※個人的には,「ISA Server は DMZ を 3rd network に置くことを意図していない」気がしてます.そろそろ次期 version の beta を試してみナイトです.
るーさま
ベテラン
会議室デビュー日: 2004/07/26
投稿数: 52
お住まい・勤務地: 江戸っ子・東京勤め
投稿日時: 2004-08-10 12:42
返信に時間がかかってしまって大変申し訳ございません。
久しぶりに覗いたらレスがついていました。。


新任の管理者なもので深くは分かりませんが、
私の意図した「特定の社員だけをアクセス可能にする方法」というのは、
あくまでIPを設定したクライアントアドレスを使うだけです。

私自身、ユーザー認証のやり方が分かっていないのに、
紛らわしい表現をしてしまって大変申し訳ございません。


-------------------------以下余談----------------------------------------

先週、ISA Server 2004 の製品説明セミナーに行ったのですが、
機能・デザイン・操作性が大幅に向上し、「同じソフト?」と思ってしまうほどでした(苦笑。

さて、講師の人曰く、
>「ISA Server (2000) は DMZ を 3rd network に置くことを意図していない」
というのは本当だそうです。(だから、2004はそこを強化してあるらしいです)

参考までにどうぞ。
1

スキルアップ/キャリアアップ(JOB@IT)