第2回 何が変わった? エッジ層を保護するISA Server 2006
高橋 桂子
NRIラーニングネットワーク株式会社
ラーニングソリューション部
(Microsoft MVP for Windows Server System - ISA Server)
2007/1/18
SharePoint公開ルールウィザード
SharePointやSharePoint Portal Servicesのサイトを公開する場合、専用のウィザードであるSharePoint公開ルールウィザードを利用します。
ISA Serverの管理ツールのコンソールツリーでファイアウォールポリシーを右クリックし、[新規作成]−[SharePointサイト公開ルール]を選択すると、ウィザードが起動します。このウィザードを利用することで、Exchange Serverと同様に、SSLブリッジ、アプリケーションレベルの検査、フォルダへのアクセス制限、HTMLフォームの認証というセキュリティ機能を利用した安全な公開が実現できます。
SharePointサイトの公開については、さらにグローバルリンク変換を構成することで、内部コンピュータ名や内部IPアドレスを使用したコンピュータへのリンクを、インターネットから利用できる公開されたパブリック名に変換することができます。
ISA Server 2004まではこのようなリンクの変換設定は、公開ルールごとに設定する必要がありましたが、ISA Server 2006では、グローバルリンク変換を構成することで、すべての公開ルールから参照できる内部名とパブリック名のマッピング設定を構成できます。
 |
| 図10 グローバルリンク変換(画像をクリックすると拡大します) (左)SPSサイトには、内部のコンピュータのFQDNやホスト名、NetBIOS名が含まれているため、インターネットからアクセスできない。また、内部コンピュータ名がインターネットに公開されてしまう。 (右)グローバルリンク変換により内部のコンピュータ名をインターネットからアクセス可能な公開FQDNに変更する。 |
Web公開の負荷分散
公開Webサーバを構成する際、耐障害や負荷分散対策として、複数のWebサーバを用意し、NLB(Network Load Balancing:ネットワーク負荷分散)を構成することが一般的ですが、ISA Server 2006にはロードバランサ機能が組み込まれているため、サーバ側でNLBを構成しなくても、ISA Server自身が複数のWebサーバにクライアントからの要求を振り分けるWeb公開負荷分散機能を搭載しています。Web公開負荷分散機能を構成するには、まず、[サーバファーム]ネットワークオブジェクトとして負荷分散したい複数のWebサーバを定義し、次にWebサイト公開ルールウィザード実行時に、[公開の種類]ページで、[負荷分散サーバファームを公開する]を選択します。
 |
| 図11 [サーバーファーム]ネットワークオブジェクトの作成 [サーバーファーム]ネットワークオブジェクトを新規作成し、サーバーファームの定義ウィザードで、負荷分散対象となる複数の公開Webサーバを定義する。 |
ISA ServerのWeb公開負荷分散機能では、クライアントアフィニティとして、セッションCookieかソースIPを選択できます。
このようにISA Server 2006を使用すれば、簡単にWeb公開時の負荷分散を構成できますが、ISA Server自身には負荷配分を調整する機能はありません。負荷配分など、ISA Serverが提供していない機能が必要な場合は、従来のようにNLBを構成する必要があります。
この記事では、ISA Server 2006の新機能のうち、セキュリティで保護されたアプリケーションの公開機能を中心に解説をしました。そのほかの機能を確認されたい場合、次のようなコースや情報ソースが用意されていますので、ご参照ください。
| Microsoftパートナー向け無料トレーニング(mstep) Microsoftイベント&セミナー(MSES) 「ISA Server 2006で実現するセキュアアクセスソリューション」 |
|
| ハンズオントレーニング 「利用シナリオごとに解説する ISA Server 2006短期集中ハンズオン」 |
| ISA Server 2006バーチャルラボ(英語) |
|
 |
3/3 |
| Index | |
| 何が変わった? エッジ層を保護するISA Server 2006 | |
| Page1 ISA Server 2006の機能強化点 認証の強化〜クライアント認証方法と認証の検証方法 |
|
| Page2 認証の委任とシングルサインオン Exchange公開ルールウィザード |
|
 |
Page3 SharePoint公開ルールウィザード Web公開の負荷分散 |
| Profile | |
 |
高橋 桂子(たかはし けいこ) NRIラーニングネットワーク株式会社 ラーニングソリューション部 前職では、外資系ソフトウェアメーカーでNOS製品のトレーニングコース開発、資格制度の設立、運営に携わる。1997年、NRIラーニングネットワークに入社。Microsoft認定トレーナーとして、ActiveDirectory、セキュリティ、SMS、ISA、Exchangeなどのインフラ系コースの開発、実施を担当。 ISA Serverについては、テクニカルドキュメントや教育コースを開発、Tech・EDなど各種カンファレンスでのスピーカーを務める。Forefront Security についてもβ版より教育コースの開発を担当。 2005年4月、Microsoft社より、MVP Windows Server System - ISA Server認定を受ける。 |
 |
Security&Trust記事一覧 |
- Windows起動前後にデバイスを守る工夫、ルートキットを防ぐ (2017/7/24)
Windows 10が備える多彩なセキュリティ対策機能を丸ごと理解するには、5つのスタックに分けて順に押さえていくことが早道だ。連載第1回は、Windows起動前の「デバイスの保護」とHyper-Vを用いたセキュリティ構成について紹介する。 - WannaCryがホンダやマクドにも。中学3年生が作ったランサムウェアの正体も話題に (2017/7/11)
2017年6月のセキュリティクラスタでは、「WannaCry」の残り火にやられたホンダや亜種に感染したマクドナルドに注目が集まった他、ランサムウェアを作成して配布した中学3年生、ランサムウェアに降伏してしまった韓国のホスティング企業など、5月に引き続きランサムウェアの話題が席巻していました。 - Recruit-CSIRTがマルウェアの「培養」用に内製した動的解析環境、その目的と工夫とは (2017/7/10)
代表的なマルウェア解析方法を紹介し、自社のみに影響があるマルウェアを「培養」するために構築した動的解析環境について解説する - 侵入されることを前提に考える――内部対策はログ管理から (2017/7/5)
人員リソースや予算の限られた中堅・中小企業にとって、大企業で導入されがちな、過剰に高機能で管理負荷の高いセキュリティ対策を施すのは現実的ではない。本連載では、中堅・中小企業が目指すべきセキュリティ対策の“現実解“を、特に標的型攻撃(APT:Advanced Persistent Threat)対策の観点から考える。
 |
|
|
|
|
