運用：Windows 2000 LAN防衛術第2回　ファイアウォール・アーキテクチャとISA Server　2．ISA Serverのファイアウォール機能（2）


運用　Windows 2000 LAN防衛術ファイアウォール・アーキテクチャとISA Server（第2回）２．ISA Serverのファイアウォール機能（2）デジタルアドバンテージ 2001/09/15

ファイアウォール・クライアント

　ファイアウォール・クライアントは、ファイアウォールのアーキテクチャ的にいうと、いわゆる「サーキットレベル・ゲートウェイ」に分類されるものである（同様の機能を持つファイアウォール・アーキテクチャとして、SOCKSがある）。クライアントのマシンにはISA Server専用のクライアント・プログラムを導入する必要があるが、その分より細かい制御ができ、ISA Serverの機能をより活用することができる（このクライアント・プログラムをインストールすると、Internet ExplorerでWeb Proxyを使うための設定も自動で行われる）。

　「サーキット・レベル・ゲートウェイ（circuit level gateway）」とは、簡単に言うと、TCPやUDPといった（OSI参照モデルでいうところの）トランスポート層レベルで通信の中継を行うファイアウォールのモデルである。TCPなどによって実現される通信モデルを「バーチャル・サーキット（仮想回線）」というが、このレベルで通信を中継、代理するところからこう呼ばれている。

　具体的には、WinSock APIのインターフェイスをオーバーライドする形で通信要求を捕捉し、ISA Serverへと振り向けている。クライアント・マシン上で発行された（WinSockに対する）TCPやUDPの通信要求はISA Serverへと送られ（転送され）、そこで実際にTCPやUDPのオープン処理や送受信のための呼び出しが発行される。インターネット上のアプリケーションから見ると、ISA Serverのマシン上でアプリケーション・プログラムが稼働していて、そこから直接、通信要求が出されているように見える。パケット・フィルタ＋NATでもほぼ同じ効果が得られるが、それは「NATエディタ（通信内容を理解して、パケット中に含まれるIPアドレスやポート番号などを書き換える機能のこと）」が通信パケットの内容を解釈して、そのプロトコルに応じてパケットの修正を行っているからである。だからNATエディタでサポートされていない未知のパケットではこの機能が働かず、うまくNATが動作しなくなる可能性がある。例えば実行時に動的に変化するポート番号を使うようなアプリケーションや、複数のTCPやUDP通信を（複雑に）組み合わせて使うようなアプリケーションでは（NetMeetingなど）、実装されているNATの機能によっては利用することができない。

　これに比べるとサーキットレベル・ゲートウェイでは、アプリケーションが仮想的にISA Server上で実行されているように振る舞うため、アプリケーションごとのNATエディタという機能を用意せずとも、さまざまなアプリケーションをサポートする事ができる。ただしアプリケーションによっては何らかの制約があるかもしれないので（例：常に固定的なポート番号を使用するアプリケーションなど。同時に複数のクライアントではポート番号が競合するので利用できない）、どのようなアプリケーションでもLAN上の複数のクライアントから使えるわけではない。

　ファイアウォール・クライアントを利用するためには、各クライアントのマシンに、以下の「ファイアウォールクライアント」という専用ソフトウェアをダウンロードしてインストールしておく必要がある。これにより、クライアント・マシン上のアプリケーションから発行された通信要求を捕捉し、ISA Serverへ転送して、そこで改めて通信要求を実行するのである。このような専用ソフトウェアを導入しなければならないが、その分、より多くのアプリケーションでインターネットを透過的に利用することができる。

　同様の機能を持つファイアウォール・アーキテクチャとしてSOCKSもあるが、ISA ServerではSOCKS（SOCKS V4）もサポートされているので、SOCKS対応アプリケーションを使うだけならば、この専用クライアント・プログラムを導入しなくてもよい。

ファイアウォール・クライアントの設定画面

クライアント・マシン（Windows 9x／Me／2000）上でこの「ファイアウォール・クライアント」ソフトウェアを実行しておくと、クライアント・マシンからインターネットへ向けて送受信されるパケットの要求は、すべていったんこのISA Serverのクライアント・ソフトウェアで捕捉されて、ISA Server上へとリダイレクトされる。そして、ISA Server上で改めて発行されることになる。そのためアプリケーションごとのNATエディタを用意せずとも、多くのアプリケーションをサポートすることができる。

		これをオンにすると、ファイアウォール・クライアント機能が有効になる。アプリケーションや環境ごとにこの機能を使うかどうかを使い分けることができる。
		DHCPやDNSを使ってISA Serverが動作しているマシンを自動的に検出し、クライアント・ソフトウェアの設定を行う。
		自動検出を使わない場合は、ここでISA Serverの指定を行う。
		クライアント・ソフトウェアが動作中はタスクバーにインジケータが表示される。

■

　今回は、ファイアウォールの基本的な分類と、ISA Serverにおけるクライアントの種類の概要について説明した。次回は、Web Proxyサービスの設定と運用について解説する。

INDEX
	［運用］Windows 2000 LAN防衛術
	第2回　ファイアウォール・アーキテクチャとISA Server
	1．ISA Serverのファイアウォール機能（1）
	2．ISA Serverのファイアウォール機能（2）

　運用

Windows Server Insider フォーラム新着記事

Azure Web Appsの中を「コンソール」や「シェル」でのぞいてみる （2017/7/27）
　AzureのWeb Appsはどのような仕組みで動いているのか、オンプレミスのWindows OSと何が違うのか、などをちょっと探訪してみよう
Azure Storage ExplorerでStorageを手軽に操作する （2017/7/24）
　エクスプローラのような感覚でAzure Storageにアクセスできる無償ツール「Azure Storage Explorer」。いざというときに使えるよう、事前にセットアップしておこう
Win 10でキーボード配列が誤認識された場合の対処 （2017/7/21）
　キーボード配列が異なる言語に誤認識された場合の対処方法を紹介。英語キーボードが日本語配列として認識された場合などは、正しいキー配列に設定し直そう
Azure Web AppsでWordPressをインストールしてみる （2017/7/20）
　これまでのIaaSに続き、Azureの大きな特徴といえるPaaSサービス、Azure App Serviceを試してみた！まずはWordPressをインストールしてみる