DMZの構成(Netscreen-25)

Question

こんにちは。Netscreen(25)の構成の仕方について質問があります。

現在、外部に公開しているサーバーがあり（メール、Proxy、Web）、それぞれNIC２枚挿しでglobal/privateそれぞれのIPを一つずつ割り当ててあります。

これらのサーバーのPrivateアドレスと同じサブネットでバックオフィスのPCが繋がっています。

現在Firewall（NetScreen)の新規導入を考えておりますが、DMZ構成の仕方について一つ質問があります。

現在の構成は、

[modem]
 |
 |
[Switch]---------[Switch]---(backoffice)
  | | |
  | | |
  A B C　←サーバー

考えている構成は以下のようなものです。

[modem]
 |
 |
 |Untrusted
[Netscreen-25]---------[Switch]---(backoffice)
 |DMZ         Trusted
 |
 |
[Switch]
  | | |
  | | |
  A B C

現在はGlobal IP（外部からのアクセス）、Private IP(内部からのアクセス）がサーバーに共存しているのですが、上のような構成の場合、DMZに割り当てるアドレスについて、どのような割り当て方が適当なのでしょうか。
各サーバーのアドレスをPrivateアドレスのみにし、Firewall上で、現在使用しているの各サーバーへのGlobalアドレスへの要求が来たときに、それを対応するサーバーのPrivateアドレスにMapするということは、実際にGlobalアドレスをサーバーに割り当てないでも可能なのでしょうか？

suzui · Accepted Answer

>実際にGlobalアドレスをサーバーに割り当てないでも可能なのでしょうか？

サーバ自体のNICは1枚で、NICにはプライベートIPアドレスを付けて運用できます。

MIPを使う場合は、グローバルとプライベートを1対1で変換し、VIPを使う場合は、1個のグローバルの複数TCP/UDPポートを複数のプライベートに変換できます。

イメージは、日本語マニュアルの図が分かりやすいと思います。参考URLからダウンロードしてみてください。

Concepts & Examples ScreenOS Reference Guide: Vol 2, Fundamentals
の第8章、マップIPアドレスと仮想IPアドレスのところです。

参考URL：http://www.juniper.net/techpubs/software/screenos/screenos5x/translated/index.html#jp

noname#14035 · Answer

Jzamraiです。

まずは、お返事感謝いたします。

sachi5sachiさんのお立場とプレッシャー、お察し申し上げます。

私のほうからは、有効なシステム構築（真の意味で有益なセキュリティー対策の実践）に少しでも役立ちそうな補足情報を追記させていただきますね。（ご質問の標題とはズレてしまうかもしれませんが、ご承知のとおり、ここが最も重要なポイントになってくるかと思いますので。）

まず、大前提として、”公開サーバー”を設置する以上、それ自体に対する脅威と対策・管理（初期設定、パッチ適用、監視、手直しなど）の継続という課題と必要性からは逃れることが出来ないと、一種腹をくくる必要があるかと思います。（仕組み（機器やソフトウェア）だけで永続的に公開サーバーを防御しようとしても、必ずどこかにしわ寄せが来るものだと思います。）

もちろん、ファイアーウォールの導入（境界線セキュリティーの強化）自体は有益（むしろ必須）なものだと思います。（また有効な仕組みの導入と正しい運用は、間違いなく管理の手間を軽減し、セキュリティーの強度も高めてくれるでしょう。）

導入される機器の性能・機能をフル活用するためにも、是非、依頼主さんと積極的なコミュニケーションをとり、より具体的な状況を整理したうえで、「メーカーサポート」（というよりも、営業さんかな？）の知恵を最大限活用されるよう、私からはオススメをさせてください。

文末に、参照サイト（システム構築時の要件整理に役立つと思います。）のURLを付記しておきますので、あわせて参考になさってみてください。

お仕事、うまく行くようにお祈りしております。

それでは。

■IPA 提供レクチャー　～大規模サイトのネットワークセキュリティ～■ Copyright(c) Information-technology Promotion Agency, Japan. All rights reserved 2004
↓
http://www.ipa.go.jp/security/fy14/contents/enterprise/guide.html

* レクチャーの内容は、上記URLよりPDFファイルとして入手可能です。

noname#14035 · Answer

おはようございます。

正直、「Firewallの導入目的（おそらくサーバー群、イントラネットの保護でしょうが、より具体的な脅威の特定・想定を行うのが理想です。）」、「稼動サービス（機器ベースの話ではなく、動かすプロセスとサービス利用者の具体的項目などの事です。）」がわからないと一般論としてのお話しかできないので、まずその点をご理解いただけると助かります。

IPアドレスの計画一つをとっても、「あくまで、有効な全体計画ありき」であって、本サイトのような掲示板システムにはどうしても限界がある（決して、sachi5sachiさんや本サイトの非難をしているわけではありません。）というのが現実だと思います。

さて、今回のご質問の背景には、「すでに何らかの情報セキュリティーに絡むインシデントを経験されたか、差し迫った事態を想定されている」という部分がありそうだとお察ししています。（私の邪推かもしれませんが…）

その点を踏まえた上での話しなのですが、「公開サーバー」については、セキュリティー以前の問題として、正当な利用者から確実に名前解決・接続が可能である状態を維持しなければならないという大前提を意識しておく必要があるでしょう。（その上で、情報セキュリティーの問題を検討すべきだと言うことですネ。）

繰り返しになりますが、情報セキュリティーは”ユーザーとっての安全・快適なサービス”を維持するための一パーツに過ぎないということです。

現在の状況（特にDNS関連の設定や機器構成）がわからないので何とも言えないのですが、基本的は「１サービスに１台のノードとグローバルIPアドレス付与」という運用形態をベースにすべきではないかと思います。（サービスの安定性・可用性も重要なセキュリティー課題です。）

まずは、この構成で各サーバに対して出来うる限りのセキュリティー対策を施すべきでしょう。

具体的には、「サーバーの堅牢化と管理・監視」「イントラネットとの通信レベルでの切り離しと安全な管理ルートの構築」などが最優先課題となってくるはずです。

もちろん、よりWAN側にFirewallアプライアンスを含めたゲートウェイ（リバースプロキシ）的なノードを一つはさみ、フォワーディング（NAT＋プライベートIPアドレス）を利用してローカルアドレス保有のノードからサービス提供を行うことは可能でしょうが（イメージされている手法の話です。）、この考え方は、あくまで既述の基本運用ではカバーしきれない案件に対する応用問題（特に、クリティカルなWebアプリケーション運用などに絡む話）であるという側面が強いと思います。（もちろん、話自体は”あり”だと思うのですが…）

さらに言うと、「そもそも何のためのDMZか？」（LAN内の脅威軽減という側面も強い。）というポイントをよく考えなければならないとも思います。

というわけで、私の方からは、文末紹介URLのレクチャーなどを参考に、「サービス」「機器構成と”運用”」「セキュリティー」という俯瞰的な視点を元にしたIPアドレス計画の再熟慮をオススメさせてください。

今回はズバリの直接回答にならず恐縮ですが、まずは何らかの取り掛かりとして捉えていただければうれしく思います。

それでは。

■＠IT　～ファイアーウォール関連レクチャー一覧～■ Copyright(c) 2000-2005 ITmedia Inc
↓
http://www.atmarkit.co.jp/ad/temp/channel/firewall.html

■＠IT　～典型的なDMZ運用形態図（関連レクチャー内～■ Copyright(c) 2000-2005 ITmedia Inc
↓
http://www.atmarkit.co.jp/fnetwork/rensai/troutol03/01.html

■ITmedia　～知ってるつもり？「セキュリティの常識」を再確認　第3回：ファイアウォールの常識■ Copyright© 2005 ITmedia, Inc. All Rights Reserved
↓
http://www.itmedia.co.jp/enterprise/articles/0411/26/news047.html

DMZの構成(Netscreen-25)

>実際にGlobalアドレスをサーバーに割り当てないでも可能なのでしょうか？

Jzamraiです。

おはようございます。

似たような質問が見つかりました

関連するカテゴリからQ&Aを探す

デイリーランキングこのカテゴリの人気デイリーQ&Aランキング

マンスリーランキングこのカテゴリの人気マンスリーQ&Aランキング