製品レビュー

ISA Server 2004
―― VPN機能を強化し、洗練されたGUIで設定・運用を簡易化した最新のファイアウォール/Webプロキシ・ソフトウェア ――

第1回 ISA Server 2004の概要

デジタルアドバンテージ
2004/08/06

Index
ISA Server 2004の概要
ISA Server 2004のセットアップ

 Microsoft Internet Security and Acceleration Server 2004(以下ISA Server 2004)は、ファイアウォールとWebキャッシング(プロキシ・サーバ機能)、VPNサービスなどを統合した、総合セキュリティ・サーバ・ソフトウェアである。前バージョンのISA Server 2000の販売開始が2001年2月であったので、3年ぶりのメジャー・バージョンアップとなる。

ISA Server 2004
ISA Server 2004は2004年8月現在、Standard Editionのみが発売されている。パッケージ製品の推定小売価格は27万5000円(アカデミック版は13万5000円)。プロセッサ・ライセンス形式でのみ利用できる。

 ISA Server 2000と比較すると、マルチネットワークのサポートや高機能なパケット・フィルタ/アプリケーション・フィルタなどの新機能が追加されたほか、管理ツールのGUIも大幅に刷新されるなど、より使いやすくなっている。使いこなすにはネットワークに対する深い理解が不可欠であることは変わらないものの、管理者にとって面倒で煩雑な作業が、より直感的かつ少ない工数で進められるようになった。今回はISA Server 2004の機能概要について解説する。より詳細な機能の説明は次回以降で行うことにする。

 なおISA Server 2004には、Standard Editionのほか、複数サーバを組み合わせてアレイを構成できるEnterprise Editionも計画されているが、原稿執筆時点で発売されているのはStandard Editionのみで、Enterprise Editionの発売時期は未定となっている。

ISA Server 2004の管理画面
機能も管理画面も一新されたISA Server 2004。高機能化されるだけでなく、格段に使いやすくなっている(前バージョンの使い勝手がよくなかっただけともいえるが)。

ISA Serverとは

 ISA Serverは、Windows Server製品群に含まれるファイアウォール/Webキャッシュ(プロキシ)ソフトウェアである。当初はProxy Server 1.0/2.0という、Webキャッシュ機能のみを持つサーバ・ソフトウェアであったが、前バージョンのISA Server 2000ではファイアウォール機能も実装し、Internet Security and Acceleration Server 2000と名称を変更している。ISA Server 2000は、基本的には単体のサーバ・ソフトウェア・パッケージとして提供されていたが(Standard EditionとEnterprise Editionがある)、Windows Small Business Server 2000やWindows Small Business Server 2003にも組み込まれて販売されていた。SBS版のISA Server 2000は、単体パッケージ版とほぼ同じであるが、あらかじめいくつかのパケット・フィルタ・ルールが組み込まれているなどの違いがある。

 ISA Serverを使いこなすためには(特にサーバなどを公開しようとするなら)、パケット・フィルタの設定やサーバ公開ルールの設定などが必要になる。だがISA Serverのフィルタの設定方法は、一般的なブロードバンド・ルータやファイアウォール・ソフトウェアのパケット・フィルタの設定方法などと比べると少し「くせ」があり、慣れないと少々扱いづらかった。具体的には、パケット・フィルタに優先度がないということ、ネットワーク・インターフェイスごとにフィルタ・ルールなどを適用させることができない、という点が異なっている。

  • 注意点1―フィルタ・ルールの優先度
     一般的なルータでは、パケット・フィルタのルールを複数定義しておくと、優先度に従って順番に処理され、マッチするルールがあると、そのアクション部(パケットを通過させるか、ブロックさせるか)が実行されるようになっている。だがISA Server 2000では、フィルタに優先度という考え方がなく、どれか1つのルールにマッチすると、それが実行される。なおISA Serverにおける「ルール」とは、複数のプロトコルをまとめておいて、そのうちのどれか1つがマッチするかどうかを判断するためのグループのことである。例えば「インターネットアクセス用ルール」ならば「HTTPとHTTPSとFTP」をグループにしたもの、というふうになる。

  • 注意点2―インターフェイスごとのフィルタ適用
     ISA Server 2000では、ネットワーク・インターフェイスを指定して、例えばNIC1はインターネット、NIC2はイントラネット、というふうに明確に区別してパケットを処理することはできない。一般的にインターネット側のインターフェイスではフィルタを厳密にかけるが、イントラネット側のインターフェイスではあまりかけない、というふうに運用するだろう。だがISA Server 2000では「物理的なインターフェイス」ではなく、そこに定義されている「IPアドレス」を基にしてさまざまなフィルタを設定する。そのため、どのIPアドレスがどこで定義されているのかを正確に把握していないと、適切な設定は難しい。特に複数のNICを持っている場合は、IPアドレスがそれぞれに付けられているので(場合によっては127.0.0.1というローカルIPアドレスもある)、フィルタのアドレス部に指定する場合は注意が必要である(特にインターネット側のDMZ上のサーバとの通信の場合に注意が必要)。

 ISA Server 2004ではこのあたりの扱いが少し変わり、フィルタ・ルールの優先度指定が取り入れられた。また厳密な物理インターフェイスに基づくものではないが(やはりIPアドレス・ベースではあるが)、「外部ネットワーク」と「内部ネットワーク」と「DMZネットワーク」を明確に区別して、それぞれの間でのルーティグの可否やNAT適用の有無を指定できるようになっている。このあたりは、かなり便利になったように思われる。

システム要件

Windows 2000 LAN防衛術
Insider's Eye― VPNとセキュリティを大幅強化する次世代ISA Server 2004

 ISA Server 2004 Standard Editionを利用するには、次のようなシステム構成が必要となる。ただしこれは最低限の要求仕様なので、クライアントの数やインターネット接続回線の帯域幅などに応じて、実際にはより高性能なシステムが必要となる。

項目 要求仕様
CPU Pentium III、500MHz以上。最大4CPUまでサポート
メモリ 256Mbytes以上
OS Windows 2000 Server+SP4以降/Windows 2000 Advanced Server+SP4以降/Windows Server 2003
ディスク NTFSで空き領域150Mbytes以上。Webキャッシュ機能を利用する場合は、キャッシュ用にさらに空き領域が必要
ネットワーク・カード Webキャッシュ機能のみを利用する場合は1枚。通常は2枚をそれぞれインターネットとイントラネット・ネットワーク用に使用。DMZネットワークを利用する場合はDMZ用にさらに1枚必要
ISA Server 2004 Standard Editionのための必要システム要件
 
 

 INDEX
  [製品レビュー]ISA Server 2004
第1回 ISA Server 2004の概要
    1.ISA Server 2004の新機能(1)
    2.ISA Server 2004の新機能(2)
 
更新履歴
【2004/08/07】 ISA Server 2004の製品パッケージ写真を追加しました。

 製品レビュー


Windows Server Insider フォーラム 新着記事
@ITメールマガジン 新着情報やスタッフのコラムがメールで届きます(無料)

注目のテーマ

Windows Server Insider 記事ランキング

本日 月間