|
製品レビュー ISA Server 2004 第1回 ISA Server 2004の概要 2.ISA Server 2004の新機能(2)デジタルアドバンテージ2004/08/06 |
 |
|
|
|
柔軟で分かりやすくなったセキュリティ/ファイアウォール設定
ISA Server 2004はパケット・フィルタを中心としたセキュリティ機能を持っているが、従来のISA Server 2000と比較すると、その内容や設定方法が整理され、扱いやすくなっている。また複数のフィルタ・ルールを定義する場合、それが適用される順番(フィルタの優先度)を明確に指定できるようになった。フィルタ・ルールに優先度があり、指定された順に適用されるのはファイアウォールやルータでは一般的であるが、ISA Server 2000ではやや変則的な方法が採用されていたので、あまり使いやすいとはいえなかった。
さらにISA Server 2004では、ネットワークの構成に応じて適宜定義する「ファイアウォール ポリシー ルール」以外に、あらかじめ基本的なプロトコルの扱いについて定義する「システム ポリシー ルール」というものが用意されている。システム・ポリシーには、例えばDHCPやDNS、ICMPなどの通過を許可するか、それとも拒否するか、などが定義されており、システム全体のデフォルトとして適用される。従来のISA Server 2000では、このような基本的なプロトコルも、ネットワークの構成に応じて定義するルールも同等に扱われており、慣れないと設定が分かりづらかった。
 |
|||||||||||||||||||||
| ファイアウォール・ルールの管理 | |||||||||||||||||||||
| 定義されているルールの一覧画面の例。上部にはデフォルトのルールである[システム ポリシー ルール]が表示され、ユーザーが定義したルールはその下の[ファイアウォール ポリシー ルール]に表示される。上にある方が優先度が高くなっており、先に適用される。これは一般的なルータやファイアウォールにおけるパケット・フィルタの設定と同じであり、従来のISA Server 2000よりも分かりやすくなっている。 | |||||||||||||||||||||
|
サーバの公開に関しても、Webサーバやメール・サーバ(SMTP/POP/IMAPサーバだけでなく、Outlook Web AccessやExchange RPC、NNTPなども含む)についてはあらかじめウィザードが用意され、公開するサーバの指定や、公開するネットワークの指定などが簡単に行えるようになっている(従来よりも直感的で分かりやすくなっている)。
またサーバを公開するときに、ポート番号を変更して別のサーバへ要求を転送する機能(リッスンしているのとは異なるポート番号で公開する機能)や、Webサーバの公開において、アクセス元のIPアドレスを変換せずにそのまま転送する機能なども用意されている(これにより、Webサーバはアクセス元のIPアドレスを知ることができるようになる。詳細については次回解説予定)。
リアルタイム監視/ログ機能
ISA Server 2004では、パケット・フィルタリングの結果などを含むログは、デフォルトですべてMSDEのデータベースに格納される(MSDEはISA Server 2004のインストール時に同時にインストールされる)。従来はすべてテキスト・ファイルに記録されていたため、ネットワークのトラフィックが多いと、記録されるログも膨大になるし、システムへの負荷も高くなっていた。またログ・ファイルの内容を確認するには、テキスト・ファイルをエディタで開いたり、テキスト検索ツールなどを利用したりするしかなかった。だがMSDEデータベースに変更されたことにより、高速・柔軟な検索が可能になり、ほかのシステムでの解析などが容易になっている。またISA Server 2004の管理ツールには、このログの内容をリアルタイムでフィルタリング/表示させる機能が用意されているので、監視業務が容易になっている。
ただしMSDEでは、取り扱えるデータベースのサイズが最大2Gbytesまでに制限されているので、必要ならばSQL Serverの導入を検討する必要がある。
 |
||||||
| リアルタイムのログ監視 | ||||||
| これはログ監視画面。MSDEに格納されているパケット・フィルタなどのログをクエリしてリアルタイムに表示させることができる。 | ||||||
|
■ダッシュボードによるリアルタイム監視
ダッシュボードとは、現在のISA Server 2004の動作状態をリアルタイムに表示するための監視ウィンドウのことである。サービスの状態や直近で発生した警告メッセージ、セッションの状態、パケットの数(通過したパケットとブロックされたパケットの両方)などの情報が簡潔に表示されている。
 |
|||||||||||||||
| リアルタイム・モニタ機能(ダッシュボード) | |||||||||||||||
| ISA Server 2004の動作状態をリアルタイムに監視するためのモニタ画面。 | |||||||||||||||
|
新しいアドイン・モジュール
アドインとは、ISA Serverの機能を拡張するためのモジュールのことであり、例えばプロトコルごとのコンテンツ・フィルタリング(通信の内容のフィルタリング)などを行うために利用される。ISA Server 2004には標準でいくつかのアドインが用意されており、例えばFTPのアップロードを禁止したり(読み出しのみを許可する)、ある特定の拡張子を持つ実行ファイルのHTTP経由でのダウンロードを禁止したりすることができる。後者の機能は、例えば特定の名前を持つウイルス・ファイルのダウンロードをブロックするために利用できる。
VPNサポート
ISA ServerはVPNサーバ機能を持っており、インターネット上のVPNクライアントからの接続を受け付けることができる。この機能は従来のISA Server 2000から存在したが、さらにISA Server 2004では、VPN接続クライアントに対して、「検疫」による接続制御を行えるように拡張されている(検疫を利用しないことも当然可能)。検疫とは、VPNで接続したクライアントが「ある条件を満たしたかどうか」をVPNサーバが判断し、条件を満たした場合にのみ、内部ネットワークへの接続を許可するという機能である。検疫を通っていないVPNクライアントは、VPNサーバ(ISA Server 2004)に接続はするものの、そこから先の内部ネットワークへはアクセスできない。これにより、(検疫によって)安全であると保証されたクライアントのみがネットワークを利用することができるので、外部からの不正な侵入やウイルスなどの汚染を防ぐことができる(可能性が高くなる)。
実際の検疫は、スクリプトやバッチ・ファイルなどでウイルス・チェッカーを起動したり、システムの構成を調査したりするプログラムによって実現する。ISA Server 2004にはこのためのツールやSDKなどが用意されているので、あらかじめこれらを使って検疫のためのプログラムなどを用意する必要がある。
 |
 |
| INDEX | ||
| [製品レビュー]ISA Server 2004 | ||
| 第1回 ISA Server 2004の概要 | ||
| 1.ISA Server 2004の新機能(1) | ||
 |
2.ISA Server 2004の新機能(2) | |
 |
||
 |
製品レビュー |
- Azure Web Appsの中を「コンソール」や「シェル」でのぞいてみる (2017/7/27)
AzureのWeb Appsはどのような仕組みで動いているのか、オンプレミスのWindows OSと何が違うのか、などをちょっと探訪してみよう - Azure Storage ExplorerでStorageを手軽に操作する (2017/7/24)
エクスプローラのような感覚でAzure Storageにアクセスできる無償ツール「Azure Storage Explorer」。いざというときに使えるよう、事前にセットアップしておこう - Win 10でキーボード配列が誤認識された場合の対処 (2017/7/21)
キーボード配列が異なる言語に誤認識された場合の対処方法を紹介。英語キーボードが日本語配列として認識された場合などは、正しいキー配列に設定し直そう - Azure Web AppsでWordPressをインストールしてみる (2017/7/20)
これまでのIaaSに続き、Azureの大きな特徴といえるPaaSサービス、Azure App Serviceを試してみた! まずはWordPressをインストールしてみる
 |
|
|
|
|
注目のテーマ
Windows Server Insider 記事ランキング
転職/派遣情報を探す
