製品レビュー
ISA Server 2004

第2回 ISA Server 2004のセットアップ

3.ISA Server 2004のセットアップ(2)

デジタルアドバンテージ
2004/10/14

 テンプレートを選択すると、次のようなウィザード画面が表示される。

ネットワーク設定ウィザードの起動
テンプレートを選んでクリックすると、このような設定ウィザードが起動する。
  選択したネットワーク・テンプレート。
  これをクリックして先へ進む。

 ここでは中規模ネットワークを考慮して、三脚境界方式の構成を選択している。ウィザードの最初の画面では、現在の構成を保存しておくための[エクスポート]画面が表示される。ISA Server 2004のエクスポート機能は、従来版よりも柔軟性が高く、ISA Server 2004全体の構成だけでなく、ネットワークやフィルタ設定といった、一部だけの設定のバックアップも行える。これを元にしてほかのISA Server 2004システムへ設定をコピーすれば、同じ構成のシステムを簡単にセットアップすることができる。

現在の設定のエクスポート
構成を変更する前に、現在のISA Server 2004の設定をXMLファイルとして出力しておくことができる。現在の構成をバックアップしたり、ほかのISA Server 2004システムへコピーしたりできる。
  これをクリックして構成をXMLファイル出力する。
  これをクリックして先へ進む。

 次はネットワーク・アドレスの定義を行う。ISA Server 2004のフィルタでは、個々のIPアドレスではなく、「内部」や「外部」、「境界領域」、「VPN クライアント」といった、ネットワーク・アドレス名を利用して設定を行う。以下の画面では、各インターフェイスに割り当てられているIPアドレスがどのグループに該当するかを定義する。最初は「内部」ネットワークの範囲に含まれるIPアドレスを定義する。一般的には、ここでは「プライベートIPアドレス」や「APIPAアドレス」を含めることになるが、DMZでこれらのうちの一部を使う予定があるのなら、それは除外しておく。

内部ネットワーク・アドレスの定義
内部ネットワークに属するIPアドレス範囲を指定する。ISA Server 2004のイントラネット側インターフェイスに割り当てられているネットワーク・アドレスを追加しておく。DMZ用のアドレスは含めないこと。イントラネット上に(ルータを介して)別のネットワークが存在する場合は、内部ネットワークではなく、別の新しいネットワーク・アドレスとして定義してもよい。そうすれば、異なるファイアウォール・ポリシーを適用することができるからだ。
  10.0.0.0/24はプライベートIPアドレスの1つ。
  169.254.0.0/16はAPIPAアドレス。
  192.168.0.0/16はプライベートIPアドレスの1つ。
  新しいIPアドレス範囲を追加するにはこれをクリックする。
  このボタンをクリックしてネットワーク・インターフェイスを選択すると、そのインターフェイスに割り当てられているIPアドレス範囲を簡単に追加することができる。
  プライベートIPアドレスを簡単に追加するには、これをクリックする。

 次はDMZ用のIPアドレスを定義する。DMZには、グローバルIPアドレスを利用する方法と、ローカルIPアドレスを利用する方法の2種類があるが、どちらを使ってよい。プライベートIPアドレスを利用する場合は、必要に応じてアドレス変換(NAT)を行うこともできる。

DMZ用アドレスの定義
DMZセグメント(境界領域ネットワーク・セグメント)に割り当てられているIPアドレスを定義する。DMZは内部ネットワークや外部(インターネット側)ネットワークとは独立したネットワークなのでそれらとは別に定義する。
  これはDMZ用のネットワーク・インターフェイスに割り当てられているネットワーク・アドレス。
  これはクラスBのブロードキャストアドレス。これもDMZ用に割り当てておく。

 次はデフォルトのファイアウォール・ポリシーを定義する。ここでもいくつかの選択肢が提示されるので、最適なものを選択すればよい。従来のISA Server 2000では、プロトコルごとに手動で有効/無効を設定しなければならなかったが、ISA Server 2004ではあらかじめ典型的なポリシー設定が用意されているので、設定が容易になっている。

デフォルトのファイアウォール・ポリシーの選択
ネットワークを定義しただけではアクセスすることはできない。それぞれのネットワーク間で、どのようなプロトコルを通すかを定義する必要がある。これをファイアウォール・ポリシーと呼んでいる。あらかじめいくつか用意されているので、適切なものを選択する。足りないプロトコルに関しては、後で手動で追加する。
  ポリシーの選択肢。ここではイントラネットからインターネット/DMZへのWebアクセスと、イントラネットからDMZへのDNSアクセスを許可するルールを選択してみる。
  ルールの内容の説明。

 例えばこの三脚境界方式では、次のようなファイアウォール・ポリシーが用意されている。

ポリシー 内部→外部 内部→DMZ DMZ→外部 内容
すべて拒否 × × × ポリシー未定義。すべて手動で設定
DMZ DNS × DNS × DMZ上のDNSサーバへのアクセスのみ許可。そのほかは手動で設定
外部DNS DNS × DNS ISP上のDNSサーバへのアクセスを許可。そのほかは手動で設定
Web Web Web × Webアクセスのみ許可。そのほかは手動で設定
Web+DMZ DNS Web Web/DNS × 同上。さらにDMZ上のDNSサーバへのアクセスを許可
Web+外部DNS Web/DNS × DNS Webアクセスと、ISP上のDNSサーバへのアクセスを許可
制限なし × 内部からDMZとインターネットへのアクセスをすべて許可
三脚境界方式におけるデフォルト・ポリシー
各ネットワーク・テンプレートごとに、このようなポリシーがあらかじめ定義されているので、目的に応じて適切なものを選ぶ。ただしここで許可されているポリシーは最低限のものなので、必要に応じて個別にパケットの通過を許可するルールを定義する。
意味:「内部→外部」=イントラネットからインターネットへのアクセス。「内部→DMZ」=イントラネットからDMZへのアクセス。「DMZ→外部」=DMZからインターネットへのアクセス。○=許可。×=拒否。DMZ DNS=DMZ上に置いたDNSサーバ。DNS=DNSサーバへのアクセスを許可。Web=HTTP/HTTPS/FTPプロトコルの許可。

 DNSサービスは、クライアントからの名前解決を担当する重要な基幹サービスだが、ISA Server 2004では2通りの方法で利用することができる。1つはDMZ上に自組織独自のDNSサーバを置く方法であり、もう1つはプロバイダの提供するDNSサーバを利用する方法である(これ以外にもイントラネット上に配置することもできる)。ISA Server 2004ではそのいずれを利用するかで適用するポリシーが異なる。ただしこれらの設定は手動で後からいくらでも追加変更することができるので、目的に一番近いポリシーを選択してから、後でカスタマイズすればよいだろう。

 ネットワーク・ポリシーを選択すれば、基本的な設定は完了である。次の画面で[完了]をクリックし、さらに管理画面で[適用]ボタンをクリックすれば、設定が反映され、ネットワークの構成が有効になる。

ウィザードの終了
すべての設定が完了するとその概要が表示されるので、内容を確認のうえ、[完了]をクリックする。ただしこれを実行しても、実際には設定はまだ反映されない。ウィザードの実行が終了すると、管理ウィンドウの上部に[適用]と[破棄]の2つのボタンが表示され、さらに[適用]をクリックして初めて設定が反映される。ウィザードの結果が不必要ならば[破棄]をクリックすればよい。
  設定内容。
  これをクリックするとウィザードの実行が完了する。その後[適用]ボタンをクリックすると、実際にISA Server 2004に設定が反映され、ネットワークの構成が変化する。
 

 INDEX
  [製品レビュー]ISA Server 2004 
  第2回 ISA Server 2004のセットアップ
    1.ISA Server 2004を使ったネットワーク構成
    2.ISA Server 2004のセットアップ(1)
  3.ISA Server 2004のセットアップ(2)
    4.セットアップ後の設定確認
 
 製品レビュー


Windows Server Insider フォーラム 新着記事
@ITメールマガジン 新着情報やスタッフのコラムがメールで届きます(無料)
- PR -

注目のテーマ

Windows Server Insider 記事ランキング

本日 月間
ソリューションFLASH