今回は2003年に本コラムで取り上げたノウハウを総括する。インターネットVPN構築のポイント,ファイアウォールの適切な運用,小規模拠点へのADSL導入など,急速に普及が進む常時接続サービスを生かす手法が数多く登場した。ポイントは“耐障害性とセキュリティが高い企業ネットワーク構築”である。

図1 2003年に本コラムで取り上げたノウハウ
(1)インターネットVPN構築術,(2)ファイアウォール導入・運用法,(3)ADSL導入ノウハウ,(4)サーバー負荷分散装置の利用法,(5)PKI認証導入法,(6)マルチホーミング――を紹介した。
表1 2003年に取り上げた現場ノウハウの一覧(その1)
 本コラム「困ったときの現場ノウハウ」(3月17日号までは「ネットワーキングの現場ノウハウ」)が2003年に取り上げたテーマは,(1)インターネットVPN(仮想閉域網)構築術,(2)ファイアウォール導入・運用法,(3)ADSL(asymmetric digital subscriber line)導入ノウハウ,(4)サーバー負荷分散装置の利用法,(5)PKI(public key infrastructure)認証導入法,(6)マルチホーミング――である(図1[拡大表示])。

 2003年に紹介したノウハウを振り返ってみると,ADSLやFTTH(fiber to the home)といった高速で比較的安価な常時接続サービスを使うものが多かった。

 ADSLやFTTHは,専用線接続に比べて不安定という弱点がある。これらの傾向から,「セキュリティ」と「耐障害」をテーマとするノウハウが数多く登場した。

インターネットVPNに多数のトラブル

 インターネットVPNは,不特定多数の通信が行き交うインターネット上に,安全な通信ルートを構築する技術。ADSLやFTTHの企業利用には欠かせない。

 インターネットVPNでは,VPNルーターと社内ルーターの設定が大きなポイントとなる(表1[拡大表示])。

 例えば,MTU(maximum transfer unit)の値を適切に設定することが重要である。IPsecを利用すると,IPsecのヘッダー分だけパケットが大きくなることを考慮する必要がある。ルーターのファイアウォール機能などでフィルタリングをする際には,IPsecのヘッダー・サイズを含めた値を設定しなければならない。

ファイアウォールの設定ミスに注意

 ファイアウォールの設定で大きなポイントとなるのがポリシーの設定だ。DMZ(非武装セグメント)からのアクセスはできる限り許可しないのがファイアウォール設定の定石。DMZにWebサーバーを設置・公開する際には,HTTP通信を許可する。だが,内向きだけでなく外向きも許可してしまったために,CodeRedに感染したサーバーの外部への攻撃を防げなかった例がある。

 よりセキュリティを高めるために,ファイアウォールとIDS(侵入検知システム)を連携させる方法もある。ただしセキュアにしすぎて正常な通信まで遮断しないようにするなどの配慮も必要だ。IDSは完全ではなく,海外製の対話型のWebページへのアクセスを攻撃と誤認したことがある。

 ただしパフォーマンスが大幅に低下してしまうのも考えもの。プロキシとして動作し,通信データをアプリケーション層まで細かくチェックする「アプリケーション・ゲートウエイ」方式のファイアウォールを導入したところ,Webアクセスが極端に遅くなってしまった企業があった。このようなケースでは,ファイアウォールの内側にキャッシュ・サーバーを設置してファイアウォールの処理負荷を軽減するといった対策をとる。

ADSLやFTTHを生かす事例が続々障害対策とセキュリティに焦点(中)へ続く