製品レビュー
ISA Server 2004

第2回 ISA Server 2004のセットアップ

4.セットアップ後の設定確認

デジタルアドバンテージ
2004/10/14

 セットアップ完了後の管理画面で[構成]−[ネットワーク]を見ると、次のようになっている。

設定完了後のネットワーク管理画面
テンプレートからのウィザード実行が完了し、設定を反映させた状態。ネットワークの構成図が三脚境界になっている。
  [ネットワーク]を選択する。
  現在のネットワークの構成。
  [ネットワーク]タブの内容が変化している。
  ここには定義されたネットワーク情報の一覧が表示されている。[VPN クライアント]や[ローカル ホスト]などはすべて最初から定義されているネットワークの名前。ユーザーが新しいネットワーク・セグメントを定義することも可能。
  現在の構成の元となったテンプレート。枠が表示されている。

 中央の上側に表示されているのが現在の基本的なネットワーク構成である。そして下側には、定義された[ネットワーク]や[ネットワーク ルール]などが表示されている。以下、簡単に説明しておく。

[ネットワーク]タブ

 [ネットワーク]タブには、内部や外部といったネットワーク・アドレスが定義されている。すでに述べたように、ISA Server 2004ではこのネットワーク・アドレスを元にパケット・フィルタなどを設定し、IPアドレスを直接指定してフィルタを設定することはない。デフォルトでは以下のようなネットワークが定義されている。このうち「VPN クライアント」や「ローカル ホスト」など、いくつかは固定的に設定されており、ユーザーがその内容を変更することはできない。

ネットワーク 意味
ローカル ホスト ISA Server 2004自身を表す。例えばISA Server 2004自身からインターネットにアクセスする場合、このローカル・ホストから外部への許可ルールが必要となる
内部 イントラネット側のネットワークに属するIPアドレス。一般的にはプライベートIPアドレスやAPIPAによるIPアドレスが該当するが、実際のIPアドレス範囲は管理者が設定・変更できる
境界領域 DMZに属するIPアドレス。「内部」とは明確に区別される
外部 ほかのどれにも属さない、そのほかのIPアドレス。通常はインターネット上のIPアドレスすべてを指す
VPN クライアント VPN経由でこのISA Server 2004に接続しているクライアント。実際のIPアドレスは、VPN接続時に動的に決定される。「検疫」機能が有効な場合は、検疫をパスしたものだけがこのネットワークに属することになる
検疫されたVPNクライアント 「検疫」機能が有効な場合、すべてのVPN接続クライアントはまずこの検疫されたVPNクライアントに属することになる。そして検疫のテストにパスしたものだけが通常のVPNクライアントに属することになる。パスしないものはネットワークへの参加に対しては、明示的な許可ルールが定義されていない限り、制限されることになる
(ユーザー定義) 管理者自身で新しいIPアドレスの集合を作成することもできる。ただしIPアドレスではなく、上記の6つのカテゴリを追加することはできない(これを行うには後述のネットワーク・セットを利用する)
ISA Server 2004におけるネットワーク

 もしイントラネット内に複数のネットワーク・セグメントが存在する場合は、それを「内部」にまとめて定義するのではなく、ユーザー定義で別のネットワークとして割り当てた方が望ましい。それぞれのネットワーク・セグメントごとに異なるポリシーを適用することが可能になるからだ。

 各ネットワークの具体的な割り当てについては、前回も掲載した次の図を参照していただきたい。

ISA Server 2004のネットワーク定義
ISA Server 2004に接続されているネットワーク・インターフェイスごとにネットワークが定義され、それらの間でルーティングやNATを行ったり、プロトコルごとに通過/拒否の制御を行う。ISA Server 2004では、従来のISA Server 2000とは異なり、DMZセグメントを明示的に取り扱えるようになった。検疫とは、ある特定のテスト(正しくウイルス対策ソフトウェアがインストールされているかどうかなど)にパスするかどうかを調べる機能のこと。条件を満たさないVPNクライアントからのパケットはイントラネットへの接続を拒否することにより、脆弱性を持つ可能性のあるクライアントのネットワーク利用を禁止することができる。

■検疫とは
 「検疫」とは、ISA Server 2004で新しく導入された機能であり、VPN接続時のセキュリティを保つために利用される。デフォルトでは検疫機能は無効であるが、有効にすると、VPN接続時に検疫にパスするかどうかの検査が行われ、パスしたものだけがVPNクライアントとして内部ネットワーク上のリソースを利用することが可能になる(検疫されたVPNクライアントに対する許可ルールが有効な場合)。検疫の実際のテスト手段は、管理者がスクリプトなどを組み合わせて作成する必要がある。例えば指定されたウイルス対策ソフトウェアがインストールされているかどうかをチェックするなどの検査を行う。この検疫は、ウイルスからの攻撃を防ぐものではないが、ある条件を満たしたクライアントだけにネットワークへの接続許可を与えることによって、ネットワーク全体を安全に保つことができる可能性がある。

[ネットワーク セット]タブ

 [ネットワーク セット]とは、複数の[ネットワーク]を組み合わせたものであり、デフォルトでは次の2つが定義されている。各ネットワーク・セットには、[ネットワーク]で定義されている6つのカテゴリ(内部、外部、ローカル・ホストなど)を含めることができる。ネットワーク・セットは、ネットワークと同様にフィルタ・ルールのための条件として利用できる。

ネットワーク・セット 内容
すべてのネットワーク ネットワークの6つのカテゴリすべてを含んだネットワーク
すべての保護されたネットワーク 「外部」以外の5つのカテゴリすべてを含んだネットワーク
デフォルトで定義されているネットワーク・ルール
複数のネットワークを組み合わせて、新しいネットワークを定義することができる。パケット・フィルタのルールなどで使用することができる。

[ネットワーク ルール]タブ

 [ネットワーク ルール]とは、2つのネットワーク間でのルーティングやアドレス変換を制御するためのルールである。今回の例では、内部ネットワーク(イントラネット)もDMZもともにプライベートIPアドレスを使用しているが、インターネットへアクセスする場合は、ソースIPアドレスをISA Server 2004の持つグローバルIPアドレスに変換しなければならない。インターネットへローカルIPアドレスを送信するわけにはいかないからだ。だが、内部ネットワークとDMZ間で通信する場合はローカルIPアドレスのままでも問題ない。

 このような、送信元とあて先のネットワークごとにアドレス変換が必要かどうかが異なってくるが、これを決めるのがネットワーク・ルールである。今回の例では次の画面のように、5つのルールがあらかじめ定義されている。より複雑なネットワークを利用する場合は、ネットワークの構成に応じて、ルールを新たに定義する必要があるだろう。

ネットワーク・ルールの定義
今回の例では全部で5つのネットワーク・ルールが定義されている。[関係]が[ルート]ならばアドレス変換なしの単純なルーティングを行い、[NAT]ならばアドレス変換を行う。例えば一番下のルールでは、内部ネットワーク(イントラネット)からインターネットをアクセスする場合はNAT(アドレス変換)を行う、ということを表している。
  このタブを選択する。
  定義されているルールの一覧。ルータの持つルーティング・テーブルのようなもの。どのネットワークからどのネットワークへの通信を許可するか、その場合アドレス変換するかどうかなどをルート別に定義することができる。
  [タスク]タブを選択すると、実行可能なタスクの一覧が表示される。
  ルールの追加や削除、編集。
  ルールの適用優先順位を変更する。上にあるほど優先される。
  ルールを一時的に無効化するにはこれをクリックする。

[Web チェーン]タブ

 [Web チェーン]タブでは、HTTP/HTTPS要求を別のISA Server 2004サーバ(Web Proxyサーバ)へリダイレクトするかどうかを決めるためのルールを定義する。デフォルトではISA Server 2004は1台のみなので、ほかのWeb Proxyサーバへは転送せず、すべて対象となるインターネット上のコンピュータへ直接要求を送信するようになっている。

ファイアウォールの設定

 テンプレートを選択してISA Server 2004をセットアップした場合、ネットワークの構成だけでなく、パケット・フィルタ(ファイアウォール・ポリシー)の設定も指定に応じてセットアップが行われる。設定直後のファイアウォールの状態は次のようになっている([構成]−[ファイアウォール ポリシー]で表示される)。

セットアップ直後のファイアウォール・ルールの設定
テンプレート選択後に自動的に追加されたファイアウォール・ルール。上位にあるルールほど優先される。これ以外にも[システム ポリシー ルール]というのが30個ほど定義されている([表示]メニューの[システム ポリシー ルールの表示]を選択すると表示される)。
  この[ファイアウォール ポリシー]を選択する。
  Webアクセス用のルール。
  VPNクライアントからイントラネットへのアクセス許可用のルール。
  イントラネットからDMZ上のDNSサーバへのアクセス許可用のルール。
  デフォルトのルール。上記のルールにマッチしないパケットはすべて拒否される。

 今回の例では、イントラネットからDMZ/インターネットへのWebアクセスと、DMZ上のDNSサービスへのアクセスを許可しているため、上記のような3つの「許可」ルールと、1つの「拒否」ルールが定義されている。

■「許可」ルール
 「許可」ルールとは、指定された条件を持つ通信トラフィックを許可するためのルールである。このルールが定義されていないと、ISA Server 2004を経由したパケットはすべてブロック(拒否)されるので、外部とは一切通信ができなくなる。

■「拒否」ルール
 「拒否」ルールとは、指定された条件を持つ通信トラフィックをブロックするためのルールである。上の画面から分かるように、デフォルトでは一番下に必ずこの拒否のためのルール(「既定のルール」)が定義されている。このルールは、すべてのプロトコル、すべての送信元、すべてのあて先にマッチするようになっているので、あらゆる通信が拒否される。

 ここで定義されているルールには優先度がある。従来のISA Server 2000ではルールごとの優先度ははっきりしていなかったが、ISA Server 2004では優先度の概念が導入され、一般的なファイアウォールやルータの持つパケット・フィルタの機能に近づいた。優先度は処理は簡単であり、画面の上の方が最優先され、下になるほど優先度が下がる。ISA Server 2004を通過したり、ここから送受信されるパケットはこのルール群と上から順に照合され、プロトコルやあて先、送信元などがマッチすると、そのルールが適用される。適用可能な処理としては「許可」か「拒否」があり、許可ならばその通信は認められ、拒否ならば破棄される(と同時に、必要ならばログにも記録される)。どのルールにもマッチしなければ、デフォルトで最下位に定義されている拒否ルールにマッチするので、通信は拒否されることになる。ルールの優先順位を変更することは可能だが、最下位のデフォルト・ルールは変更できない。

 今回はテンプレート機能を利用した、ISA Server 2004のセットアップについてみてきたが、次回はより進んだISA Server 2004の使い方や動作の監視方法などについて解説する。End of Article

 

 INDEX
  [製品レビュー]ISA Server 2004 
  第2回 ISA Server 2004のセットアップ
    1.ISA Server 2004を使ったネットワーク構成
    2.ISA Server 2004のセットアップ(1)
    3.ISA Server 2004のセットアップ(2)
  4.セットアップ後の設定確認
 
 製品レビュー


Windows Server Insider フォーラム 新着記事
@ITメールマガジン 新着情報やスタッフのコラムがメールで届きます(無料)
- PR -

注目のテーマ

Windows Server Insider 記事ランキング

本日 月間
ソリューションFLASH