 |
|
製品レビュー
ISA Server 2004
―― VPN機能を強化し、洗練されたGUIで設定・運用を簡易化した最新のファイアウォール/Webプロキシ・ソフトウェア ――
第2回 ISA Server 2004のセットアップ
1.ISA Server 2004を使ったネットワーク構成
デジタルアドバンテージ
2004/10/14 |
|
前回はMicrosoft Internet Security and Acceleration Server 2004(以下ISA Server 2004)の概要について解説したが、今回はISA Server 2004のセットアップについて見ていく。
ISA Server 2004で構築可能なネットワークの形態には、さまざまなものが考えられるが、管理者の便宜を考えて、次の5つのパターンがあらかじめ用意されている。従来のISA Serverではほとんどゼロから管理者がISA Serverの各部の設定を行う必要があったが、ISA Server 2004では簡単に導入・設定ができるようにこれらのパターンが用意されている(Small Business Server 2000に付属のISA Server 2000ではあらかじめいくつかルールなどが定義されていたが、単体のISA Server 2000製品にはそのようなパターンは用意されていなかった)。
| ISA Server 2004での呼称 |
規模 |
用途 |
| エッジ ファイアウォール |
小規模 |
ISA Server 2004が1台で、インターネットとイントラネットの境界に配置する形式 |
| 三脚境界 |
中規模 |
インターネット、イントラネット、DMZの3つのネットワーク・セグメントを、1台のISA Server 2004で構築する形式 |
| フロント ファイアウォール/バックエンド ファイアウォール |
大規模 |
インターネット、DMZ、イントラネットの3つのネットワーク・セグメントを2台のISA Server 2004で完全に分離して、配置する形式 |
| 単一ネットワーク アダプタ |
イントラネット |
ファイアウォール機能は利用せず、Web Proxyサービスのみを利用する形式。イントラネット内でのみ利用可能な方式 |
 |
| ISA Server 2004によるネットワーク形式 |
| ISA Server 2004ではデフォルトでいくつかのネットワーク構成のパターンが用意されているので、適切なものを選んで初期設定を済ませ、必要に応じてカスタマイズして使用する。 |
以下、それぞれのパターンについて簡単に見ておこう。なお以下に挙げるネットワーク図は、ISA Server 2004のセットアップ・ウィザード中で表示される構成図であり、ISA Server 2004による典型的なネットワーク構成例を表している。このプランに沿ってネットワークを構築する限り、容易にISA Server 2004を導入・展開できるので、なるべくこれらを組み合わせた形式にするとよいだろう。
「エッジ ファイアウォール」形式
これは、インターネットとイントラネット(内部ネットアーク)の「境界(エッジ)」部分にISA Server 2004を配置するという構成である。小規模なネットワークで、1台のISA Server 2004でファイアウォールとWeb Proxyキャッシュを兼用するというようなネットワークに向いている。Webサーバやメール・サーバといったインターネットに向けて公開するサーバは持たず、主に社内からインターネットへアクセスするだけといった構成のネットワークを構築する場合に利用される。また必要に応じてVPNのサーバとしても利用され、インターネット上のVPNクライアントがイントラネットへアクセスして、リソースを利用するという用途にも利用される(VPNはほかの方式でもサポート可)。
 |
| 「エッジ ファイアウォール」形式 |
| 1台のISA Server 2004をインターネットとイントラネットの境界に配置する形式。インターネットへアクセスするだけで、サーバ類を公開しない場合には一番シンプルなこの構成が向いている。 |
| |
 |
ISA Server 2004。 |
|
「三脚境界」形式
「三脚境界(3-Leg Perimeter)」とはあまり聞きなれない訳語であるが、ISA Server 2004を中心に3つのネットワーク・インターフェイスが分岐しているような形式のネットワークを指す。それぞれのインターフェイスは、インターネットとイントラネット、DMZ(境界ネットワーク。非武装ゾーンなどとも呼ばれる)に利用される。エッジ・ファイアウォール形式よりも少し規模の大きなネットワークで利用される形式である。
 |
| 「三脚境界」形式 |
| 公開するサーバ類を持つ場合の最小限の構成。1台のISA Server 2004でファイアウォールとWeb Proxyサービスを兼用する。インターネット側から公開用サーバ類を攻撃されても、その影響がすぐにはイントラネット上のコンピュータに及ばないようにするため、DMZを独立した1つのネットワーク・セグメントとして隔離して設置する。 |
| |
|
ISA Server 2004。 |
| |
 |
公開用サーバ類を配置するDMZセグメント。 |
|
DMZ(境界ネットワーク)上には、インターネットへ公開するWebサーバやメール・サーバ、DNSサーバなどを配置したり、インターネット上の名前解決を担当するDNSサーバを配置したりする。境界ネットワークへは、ISA Server 2004を一度介してからアクセスしなければならない。これにより、公開サーバをインターネットに直接さらすことなくファイアウォールの内側に配置できるし、インターネットからの攻撃の危険性にさらされる(DMZ上の)サーバ群をイントラネットと分離して配置することができるので、安全性が高くなる。公開用サーバ群とイントラネットが同じネットワーク・セグメント上に配置されていると(上の「エッジ・ファイアウォール」形式で内部ネットワーク上のサーバを公開していると)、例えばWebサーバがワームに感染すれば、同じセグメント上に存在するほかのクライアント・コンピュータもすぐに感染してしまうからだ。
「フロント ファイアウォール」+「バック ファイアウォール」形式
これは、DMZ(境界ネットワーク)の両側をISA Server 2004ではさんで、独立した3つのネットワークとしてISA Server 2004を配置する形式である。次の図のように、インターネットとDMZ間に配置されるISA Server 2004を「フロント ファイアウォール」と呼ぶ。
 |
| 「フロント ファイアウォール」形式 |
| DMZのインターネット側のファイアウォールをISA Server 2004ではフロント・ファイアウォールと呼んでいる。万一フロント側のファイアウォールが侵入されたりしても、その被害がすぐにはイントラネット側には及ばない。複数台配置して負荷分散や耐障害性の向上を図るといった構成にも拡張しやすい。 |
| |
|
フロント側のISA Server 2004。 |
| |
|
バック側のISA Server 2004。 |
| |
 |
DMZセグメント。 |
|
そして、DMZとイントラネットの間に配置されるISA Server 2004を「バック ファイアウォール」と呼ぶ。
 |
| 「バック ファイアウォール」形式 |
| DMZのイントラネット側のファイアウォール。内部側のネットワークが複数存在する場合は、内部ネットワークのセグメントごとにISA Server 2004を導入して、セキュリティの向上とWebのProxyサービスなどを担当させるなどの柔軟性がある。 |
| |
|
バック側のISA Server 2004。 |
| |
|
フロント側のISA Server 2004。 |
| |
|
DMZセグメント。 |
|
先の三脚境界形式と比較すると、イントラネットとインターネットがDMZをはさんで完全に分離されている。DMZの両側にISA Server 2004を配置している分だけ安全性が高く、また拡張性や耐障害性にも優れている。ファイアウォールの設定ミスなどを突いてインターネットからイントラネットへ侵入する場合、2つのISA Server 2004サーバを越えなければ侵入できないからだ。またフロントとバックのISA Server 2004をそれぞれ複数構成にして全体的な性能向上を図ったり、どれか1台がダウンしていても、継続して機能するように設計することも可能である。ISA Server 2004でこの形式を利用する場合は、それぞれどちらのファイアウォールとして利用するのかに合わせて、適切なタイプでセットアップする。
「単一ネットワーク アダプタ」形式
これはISA Server 2004のファイアウォール機能は利用せず、Web Proxyキャッシュ機能のみを利用するという形式である。ファイアウォール機能は組織内のほかの場所にすでに導入されていることを前提としている。部門ごとにキャッシュ・サーバを導入してネットワーク・トラフィックの削減を図る場合などに利用できる。
 |
| 「単一ネットワーク アダプタ」形式 |
| ファイアウォール(パケット・フィルタ)の機能は利用せず、Web Proxyサーバとしてのみ利用する場合の形態。ファイアウォールがすでに導入されており、部署内でWebアクセスのキャッシングを利用する場合に利用する。すでに組織内に導入されている上位のWeb ProxyサーバへWebアクセス要求をリダイレクト(転送)して、多段キャッシュ環境を構築する場合にも利用できる。 |
| |
|
ISA Server 2004。 |
|
Windows Server Insider フォーラム 新着記事
