PR

原島 大祐 横河インフォテック システム運用部
依田 靖仁 横河インフォテック システム運用部

インターネット接続サービスの高速化と低価格化は目ざましいものがあります。インターネット接続環境のグレードアップのために,IPアドレスを変更したり,プロバイダを変更する必要が生じる場合もあります。第1回はインターネット接続サービスの切り替えノウハウを見ていきます。

 最近,月額10万円程度という格安の1.5Mビット/秒の専用線接続型インターネット接続サービスが相次いで登場しています。128kビット/秒以下のインターネット接続を,1.5Mビット/秒回線へ“グレードアップ”するのも現実的な選択肢になってきました。

 回線の高速化は,安全性の確保方法など社内ネットを抜本的に見直す良いタイミングです。また,異なるインターネット接続事業者(プロバイダ)のサービスに移行する場合,単純に高速化する以外の移行テクニックが必要です。

高速化と同時にポリシーの再考を

回線を高速化すると,インターネットに公開できるサービスが増えます。ネットワーク運用ポリシーを再考し,強固なセキュリティを確保する良い機会です。接続環境に応じたセキュリティ・ポリシーを明確にすれば,アクセス・コントロールを実現するネットワーク構成が見えてきます。

 128kビット/秒から1.5Mビット/秒にインターネット接続を高速化すると,それだけ多くのトラフィックを流せるようになります。公開するサーバーや利用するサービスも増えるのが普通です。インターネット上で利用するサービスを増やすのであれば,単なる回線の高速化だけではなく,セキュリティ面を含めて,ネットワーク運用ポリシーを再検討する必要があります。

 ネットワーク運用ポリシーの再検討は,現状のインターネット接続の構成の見直しから始めます。その上でセキュリティ条件などのポリシーを明確化し,最適な構成を再検討します。

レベルごとにLANセグメントを割り当てる

 サーバーやサーバーが提供するアプリケーション・サービスの数が多いのであれば,複数のセキュリティ・ポリシーを組み合わせると良いでしょう。以下では,最も一般的な3種類のセキュリティ・ポリシーを前提にします。

 1番目のセキュリティ・ポリシーは,インターネットに直接接続するLANセグメントにはサーバー類を設置しないこと。2番目は,公開サーバーはファイアウォールの社内側に設置し,ファイアウォールのNAT機能を使って,アクセス制限すること。3番目は,インターネットからアクセスされるサーバーをセキュリティ・レベルによって分けることです。

 これらのポリシーを実現するには,ファイアウォールですべてのサービスに対してアクセス制御するよりも,複数のファイアウォールやルーターで多段階のアクセス制御を実施するのが効果的です。

 ファイアウォールやルーターを階層的に接続して,各機器を適切に設定すれば,セキュリティを複数のレベルに分けられます。こうすれば,社内利用に対してサービスの利用制限を緩和するのと同時に社外からのアクセスの安全性を高められます。

図1 レベル・セグメントのセキュリティの確保はファイアウォールとルーターで実施
レベル別にセグメントを分ける場合,インターネットに直結するルーターとファイアウォール,そしてセグメントごとに接続するルーターの各段階でアクセス制御を実施する。
 ここでは,レベル1~レベル3までの3段階のセキュリティ・レベルを設定し,それぞれのレベルごとにLANセグメントを割り当てた例を説明します。レベルの数値が高くなるほど,セキュリティも高くなります。

 インターネットに直結するルーターでは,セキィリティ機能を設定しません。すべてのパケットがルーターを通過できるように,ルーター上のWell-Knownポートをふさがないように設定します。これは,ファイアウォールとレベル別ポリシーを管理するルーターですべてのセキュリティを設定するためです。

 ファイアウォール上では,すべてのレベルに共通するパケット・フィルタリングを設定します。その上でそれぞれのセキュリティ・レベルに対応したLANセグメントを用意します。レベル別ポリシーに基づいたフィルタリングは,それぞれのLANセグメントに接続したルーターで設定します(図1[拡大表示])。

IPアドレスとポート番号でレベルを指定

 レベル1セグメントは,インターネットに公開するサーバー用です。社外向けDNSサーバーやメール・サーバー,WWWサーバー,FTP(file transfer protocol)サーバーなどを収容します。ファイアウォール上でこれらのサーバーのIPアドレスとTCPのポート番号にあてたパケットが通過できるように設定します。

 レベル2セグメントは,社内からだけでなく,社員や取引先などが社外からインターネット経由でアクセスできるサーバーを接続します。ロータスの「ノーツ」などのグループウエア・サーバーや,NetNewsサーバーなどです。レベル2セグメントにつながったルーターで,インターネット経由でアクセスしてくる社員の端末のIPアドレスだけを通すように設定します。

 レベル3セグメントに接続するのは,社外からのアクセスを許可しないサーバーです。プロキシ・サーバーや社内向けDNSサーバーなどをつなげます。社外からのアクセスを禁止し,社内から社外へのアクセスだけを許可するようにルーターを設定します。