| 製品レビュー ISA Server 2004 第2回 ISA Server 2004のセットアップ 3.ISA Server 2004のセットアップ(2)デジタルアドバンテージ2004/10/14 |
 |
|
|
|
テンプレートを選択すると、次のようなウィザード画面が表示される。
 |
||||||
| ネットワーク設定ウィザードの起動 | ||||||
| テンプレートを選んでクリックすると、このような設定ウィザードが起動する。 | ||||||
|
ここでは中規模ネットワークを考慮して、三脚境界方式の構成を選択している。ウィザードの最初の画面では、現在の構成を保存しておくための[エクスポート]画面が表示される。ISA Server 2004のエクスポート機能は、従来版よりも柔軟性が高く、ISA Server 2004全体の構成だけでなく、ネットワークやフィルタ設定といった、一部だけの設定のバックアップも行える。これを元にしてほかのISA Server 2004システムへ設定をコピーすれば、同じ構成のシステムを簡単にセットアップすることができる。
 |
||||||
| 現在の設定のエクスポート | ||||||
| 構成を変更する前に、現在のISA Server 2004の設定をXMLファイルとして出力しておくことができる。現在の構成をバックアップしたり、ほかのISA Server 2004システムへコピーしたりできる。 | ||||||
|
次はネットワーク・アドレスの定義を行う。ISA Server 2004のフィルタでは、個々のIPアドレスではなく、「内部」や「外部」、「境界領域」、「VPN クライアント」といった、ネットワーク・アドレス名を利用して設定を行う。以下の画面では、各インターフェイスに割り当てられているIPアドレスがどのグループに該当するかを定義する。最初は「内部」ネットワークの範囲に含まれるIPアドレスを定義する。一般的には、ここでは「プライベートIPアドレス」や「APIPAアドレス」を含めることになるが、DMZでこれらのうちの一部を使う予定があるのなら、それは除外しておく。
 |
||||||||||||||||||
| 内部ネットワーク・アドレスの定義 | ||||||||||||||||||
| 内部ネットワークに属するIPアドレス範囲を指定する。ISA Server 2004のイントラネット側インターフェイスに割り当てられているネットワーク・アドレスを追加しておく。DMZ用のアドレスは含めないこと。イントラネット上に(ルータを介して)別のネットワークが存在する場合は、内部ネットワークではなく、別の新しいネットワーク・アドレスとして定義してもよい。そうすれば、異なるファイアウォール・ポリシーを適用することができるからだ。 | ||||||||||||||||||
|
次はDMZ用のIPアドレスを定義する。DMZには、グローバルIPアドレスを利用する方法と、ローカルIPアドレスを利用する方法の2種類があるが、どちらを使ってよい。プライベートIPアドレスを利用する場合は、必要に応じてアドレス変換(NAT)を行うこともできる。
 |
||||||
| DMZ用アドレスの定義 | ||||||
| DMZセグメント(境界領域ネットワーク・セグメント)に割り当てられているIPアドレスを定義する。DMZは内部ネットワークや外部(インターネット側)ネットワークとは独立したネットワークなのでそれらとは別に定義する。 | ||||||
|
次はデフォルトのファイアウォール・ポリシーを定義する。ここでもいくつかの選択肢が提示されるので、最適なものを選択すればよい。従来のISA Server 2000では、プロトコルごとに手動で有効/無効を設定しなければならなかったが、ISA Server 2004ではあらかじめ典型的なポリシー設定が用意されているので、設定が容易になっている。
 |
||||||
| デフォルトのファイアウォール・ポリシーの選択 | ||||||
| ネットワークを定義しただけではアクセスすることはできない。それぞれのネットワーク間で、どのようなプロトコルを通すかを定義する必要がある。これをファイアウォール・ポリシーと呼んでいる。あらかじめいくつか用意されているので、適切なものを選択する。足りないプロトコルに関しては、後で手動で追加する。 | ||||||
|
例えばこの三脚境界方式では、次のようなファイアウォール・ポリシーが用意されている。
| ポリシー | 内部→外部 | 内部→DMZ | DMZ→外部 | 内容 |
| すべて拒否 | × | × | × | ポリシー未定義。すべて手動で設定 |
| DMZ DNS | × | DNS | × | DMZ上のDNSサーバへのアクセスのみ許可。そのほかは手動で設定 |
| 外部DNS | DNS | × | DNS | ISP上のDNSサーバへのアクセスを許可。そのほかは手動で設定 |
| Web | Web | Web | × | Webアクセスのみ許可。そのほかは手動で設定 |
| Web+DMZ DNS | Web | Web/DNS | × | 同上。さらにDMZ上のDNSサーバへのアクセスを許可 |
| Web+外部DNS | Web/DNS | × | DNS | Webアクセスと、ISP上のDNSサーバへのアクセスを許可 |
| 制限なし | ○ | ○ | × | 内部からDMZとインターネットへのアクセスをすべて許可 |
 |
||||
| 三脚境界方式におけるデフォルト・ポリシー | ||||
| 各ネットワーク・テンプレートごとに、このようなポリシーがあらかじめ定義されているので、目的に応じて適切なものを選ぶ。ただしここで許可されているポリシーは最低限のものなので、必要に応じて個別にパケットの通過を許可するルールを定義する。 | ||||
| 意味:「内部→外部」=イントラネットからインターネットへのアクセス。「内部→DMZ」=イントラネットからDMZへのアクセス。「DMZ→外部」=DMZからインターネットへのアクセス。○=許可。×=拒否。DMZ DNS=DMZ上に置いたDNSサーバ。DNS=DNSサーバへのアクセスを許可。Web=HTTP/HTTPS/FTPプロトコルの許可。 | ||||
DNSサービスは、クライアントからの名前解決を担当する重要な基幹サービスだが、ISA Server 2004では2通りの方法で利用することができる。1つはDMZ上に自組織独自のDNSサーバを置く方法であり、もう1つはプロバイダの提供するDNSサーバを利用する方法である(これ以外にもイントラネット上に配置することもできる)。ISA Server 2004ではそのいずれを利用するかで適用するポリシーが異なる。ただしこれらの設定は手動で後からいくらでも追加変更することができるので、目的に一番近いポリシーを選択してから、後でカスタマイズすればよいだろう。
ネットワーク・ポリシーを選択すれば、基本的な設定は完了である。次の画面で[完了]をクリックし、さらに管理画面で[適用]ボタンをクリックすれば、設定が反映され、ネットワークの構成が有効になる。
 |
||||||
| ウィザードの終了 | ||||||
| すべての設定が完了するとその概要が表示されるので、内容を確認のうえ、[完了]をクリックする。ただしこれを実行しても、実際には設定はまだ反映されない。ウィザードの実行が終了すると、管理ウィンドウの上部に[適用]と[破棄]の2つのボタンが表示され、さらに[適用]をクリックして初めて設定が反映される。ウィザードの結果が不必要ならば[破棄]をクリックすればよい。 | ||||||
|
 |
 |
| INDEX | ||
| [製品レビュー]ISA Server 2004 | ||
| 第2回 ISA Server 2004のセットアップ | ||
| 1.ISA Server 2004を使ったネットワーク構成 | ||
| 2.ISA Server 2004のセットアップ(1) | ||
 |
3.ISA Server 2004のセットアップ(2) | |
| 4.セットアップ後の設定確認 | ||
 |
||
 |
製品レビュー |
- Azure Web Appsの中を「コンソール」や「シェル」でのぞいてみる (2017/7/27)
AzureのWeb Appsはどのような仕組みで動いているのか、オンプレミスのWindows OSと何が違うのか、などをちょっと探訪してみよう - Azure Storage ExplorerでStorageを手軽に操作する (2017/7/24)
エクスプローラのような感覚でAzure Storageにアクセスできる無償ツール「Azure Storage Explorer」。いざというときに使えるよう、事前にセットアップしておこう - Win 10でキーボード配列が誤認識された場合の対処 (2017/7/21)
キーボード配列が異なる言語に誤認識された場合の対処方法を紹介。英語キーボードが日本語配列として認識された場合などは、正しいキー配列に設定し直そう - Azure Web AppsでWordPressをインストールしてみる (2017/7/20)
これまでのIaaSに続き、Azureの大きな特徴といえるPaaSサービス、Azure App Serviceを試してみた! まずはWordPressをインストールしてみる
 |
|
|
|
|
注目のテーマ
Windows Server Insider 記事ランキング
転職/派遣情報を探す
