- - PR -
NetScreen-5GTでのドメイン指定許可
1
| 投稿者 | 投稿内容 | ||||
|---|---|---|---|---|---|
|
投稿日時: 2006-08-29 20:27
はじめて質問されていただきます。
Juniper社のNetScreen-5GTを使って、以下の事をしたいのですがお知恵をお貸し下さい。 基本的には、A <-> B を Internet-VPNで繋ぎ、外部とは一切遮断するのですが、Symantec 社のNorton Anti Virusで、ウィルス定義ファイルを更新するのにLive Updateだけ許可させ たいと思っています。 Symantec 社のサポートサイトによると、 liveupdate.symantecliveupdate.com liveupate.symantec.com *.akamai.net (参考) http://service1.symantec.com/SUPPORT/INTER/entsecurityjapanesekb.nsf/jp_docid/20020723123051949?OpenDocument&dtype=corp に対して、HTTPを許可させてあげればよいらしいのですが、NetScreen-5GTは ワイルドカード指定ができないらしく、*.akamai.netに対してどうポリシーを 組んだらよいか、困っています。 sourceはAnyにしたいのですが、destinationは、LiveUpdateで使用するドメイン のみにしたいと思います。どなたか、同じようなポリシーを組んだ方おられますか? ※ sourceを指定したマシンのみ、destination を Any プロトコルを HTTPに設定 してあげて、このマシンをLiveUpdateサーバにしてVPN内でLiveUpdateにする方 法もあるそうなのですが、、、サーバの管理をしたくないのでできれば別の方 法にしたいと思います、、、、 [ メッセージ編集済み 編集者: いるか 編集日時 2006-08-29 20:27 ] [ メッセージ編集済み 編集者: いるか 編集日時 2006-08-29 20:28 ] | ||||
|
投稿日時: 2006-08-29 23:58
こんばんわ.
まさに質問の意図にある内容のために悩まないための方法だと思いますが? そもそも「管理」というほどのこともありませんし, firewall の設定/管理のほうが困難だと思いますけど. | ||||
|
投稿日時: 2006-08-30 09:51
こんにちは。
とりあえず、ワイルドカード指定が不要な前の2つを登録した運用を試される案は 如何でしょうか? 確証はありませんが、上記の3つは(どれがメインか判りませんが)ミラーサイトで ある可能性が高いので、2つまで設定できれば、運用上問題ないレベルで利用可能 だと思われます。 → Symantec社に問い合わせるのが確実ですが、実際に試して見たほうが早い かも知れません。 | ||||
|
投稿日時: 2006-08-30 17:10
アドバイスありがとうございます。 N.Gでした。 *.akamai.net がやはりキーのようで、コンテンツの配信代行をしている会社のようでDos対策 だと思いますが、動的に配信元のアドレスが変わってしまうようです。 あと、VPN内にLiveUpdateサーバを設ければ。というご意見も頂戴しましたが ある制約により無理そうなんです。先に書くべきでしたがA<->Bの関係は1:n となりnの数は数年後には数千規模になると思います。つまりセンター(A)と 拠点(B)はスター型にVPNを構築することになります。 ので、まずAに集中するトラフィックが心配です。 また、BはAから見れば、数千の別法人あるいは個人でLiveUpdateのライセン ス上許されないように思います。 もう少し模索してみます、、、、 | ||||
1
スキルアップ/キャリアアップ(JOB@IT)
Copyright © ITmedia, Inc. All Rights Reserved.
著作権はアイティメディア株式会社またはその記事の筆者に属します。
当サイトに掲載されている記事や画像などの無断転載を禁止します。
著作権はアイティメディア株式会社またはその記事の筆者に属します。
当サイトに掲載されている記事や画像などの無断転載を禁止します。