インターネットからアクセスが来る場合のWebサーバの配置についてセキュリティ面も考慮して議論しております。意見は2通りあって・・・
1.DMZにWebサーバを置いてFWやLB・ウイルスチェッカー等で通常の
  構成で行った方が良い。
2.DMZではなく、今はLBにリバースプロキシの機能が付いたものがあるんで
  FWの内側(セキュア)に入れて、FWの設定、負荷を減らせる方が良い。

各々、メリット、デメリットはあると思うのですが、これが決まらないと全て先に進まず困っております。こんなのこうしたら安全で最高じゃんという意見がありましたら是非ヒントを下さい。
どうやら、決め手はリバースプロキシのようです。
これがどの位安全なのか実績が無いため語れません。
これってどうすればどの位安全に機能するのか、教えてください。
私は2番目の方が良いと思っております。
宜しくお願い致します。

このQ&Aに関連する最新のQ&A

A 回答 (2件)

うーむ。

どっちでも絶対安全とはいえませんけど。2番の構成だと、内側に FW をいれとかないと、少し危険なような気がします。(最低でも、フィルタのかけられるルータなど)あと、LB の外側と、内側のルーティングは許可しないとかの構成にしとかないと、1番、2番の構成でもなんにもなりませんからねぇ。
    • good
    • 0

すみません自分だけかもしれませんが...


「LB」とは何でしょうか?ロードバランサー?
ということで2の構成がいまいちわかっていません。すみません。

補足要求だけではなんですので...
リバースプロキシの利用 これは運用面においていろいろとメリットがあるので
導入したほうがいいと思います。
プロキシなので元Webサーバは直接インターネットにさらすよりもセキュリティは向上するでしょう。
となると、「リバースプロキシ自体のセキュリティホールの危険性は?」
という感じになると思うのですがいかがでしょうか?
例えばリバースプロキシのキャッシュ不正操作によるWeb乗っ取りとかはおきないの?とかでしょうか。
これはその製品の信頼性、サポート等を見ていくしかないのかな。
一般レポートにはそういった事例はまずないと思うので。
    • good
    • 0

このQ&Aに関連する人気のQ&A

お探しのQ&Aが見つからない時は、教えて!gooで質問しましょう!

このQ&Aを見た人が検索しているワード

このQ&Aと関連する良く見られている質問

QDelegateでPOP3、SMTPのリバースプロキシは構築できますか?

このたび、SMTP、POP3のリバースプロキシを構築する可能性がでてきました。

「リバースプロキシ」「Delegate」でぐぐってみると、HTTPやHTTPSのリバースプロキシを構築されているかたのWebサイトはたくさんあるのですが、
「リバースプロキシ」「Delegate」「smtp」「pop」でぐぐってみても、求めるようなサイトが現れません。
Delegateでもsmtp、popのリバースプロキシは構築可能なのでしょうか?

一般にHTTPのリバースプロキシを構築する場合には、MOUNTコマンドで仮想URLと実URLを記述するようなのですが、SMTPサーバやPOPサーバのアドレスを記述しても問題ないのでしょうか?リファレンスを見るとURLしか記述できないようにも見受けられるのですが・・。

参考になるURLなどありましたら、ご紹介いただけると助かります。
ご教授いただけると助かります。

以上、よろしくお願いしたします。 

Aベストアンサー

>Delegateでもsmtp、popのリバースプロキシは構築可能なのでしょうか?

delgateのマニュアルを読まれました?POP ProxyとかSMTP Proxy
とか、ちゃんと例をあげて書かれていますよ。

----
POP proxy

Example: proxy POP-DeleGate
firewall# delegated -P110 SERVER=pop

Example: POP MOUNT
"pop://user@server" is represented as "pop://server/user" internally thus it can be controlled by MOUNT as follows:

MOUNT="//* =" ... don't rewrite if a server is specified by the user
MOUNT="* pop://defaultHost/*" ... specify default POP server
MOUNT="user1 pop://host1/*" ... let the "host1" be the server of "user1"
MOUNT="//pop2/* pop://host2/*" ... map user@pop2 to user@host2, hiding real hostname "host2"

SMTP proxy/server

Example: proxy SMTP-DeleGate
firewall# delegated -P25 SERVER=smtp://mail-server/ \
MOUNT="foo@bar smtp://foo2@bar2" \
MOUNT="* smtp://-"

>Delegateでもsmtp、popのリバースプロキシは構築可能なのでしょうか?

delgateのマニュアルを読まれました?POP ProxyとかSMTP Proxy
とか、ちゃんと例をあげて書かれていますよ。

----
POP proxy

Example: proxy POP-DeleGate
firewall# delegated -P110 SERVER=pop

Example: POP MOUNT
"pop://user@server" is represented as "pop://server/user" internally thus it can be controlled by MOUNT as follows:

MOUNT="//* =" ... don't r...続きを読む

QRedHatで構築したファイアウォールサーバのDMZにアクセスできない

RedHatで構築したファイアウォールサーバのDMZにアクセスできない原因が解らない。

『図解でわかる Linuxサーバ構築・設定のすべて 一戸英男(日本実業出版社)』を参考に、
RedHat Enterprise Linux 5 で ファイアウォールサーバ(以下、FW-Server)の構築を勉強しています。
構築した環境は以下になります。

========================
TestPC : RedHat
-----------------------
IP : 111.222.333.65/28
========================
  |
==========================
FW-Server : RedHat              =====================
--------------------------         Web-Server : RedHat
eth0 : 111.222.333.70/28           ---------------------
 eth2 : 111.222.333.73/29 --- DMZ --- 111.222.333.75/29
eth1 : 192.168.1.1                =====================
==========================
  |
  |
  LAN

eth0 : WAN
eth2 : DMZ
eth1 : LAN
と、想定して構築しています。

route、iptables の設定は、本の通り設定を行ったつもりなのですが、
TestPCからWeb-Serverに接続する(Webページを表示する)ことができません。

・Ping について
TestPC からは、Pingは eth0、eth2 まで飛び、Web-Serverまで飛ぶことができません。
LAN からは、PingはWeb-Serverに飛び、Webページを表示することができます。
FW-Serverからは、PingはWeb-Serverに飛び、Webページを表示することができます。

・tcpdump コマンドについて
FW-ServerとWeb-Serverでtcpdumpコマンドを実行し、TestPCから接続を試みたところ、
FW-Serverでは反応がありますが、Web-Serverでは反応がありません。

・route の設定について
routeの設定は以下になります。

route add -net 111.222.333.72/29 gw 111.222.333.73 eth2
route add -net 111.222.333.64/28 gw 111.222.333.70 eth0
route add -net 192.168.1.0/24 gw 192.168.1.1 eth1
route add -net 0.0.0.0 gw 111.222.333.65 eth0

・iptables の設定について
iptablesの、基本ポリシーと各NICのFORWARDの設定は以下になります。

iptables -P INPUT DROP
iptables -P OUTPUT DROP
iptables -P FORWARD DROP

iptables -A FORWARD -i eth2 -o eth0 -j ACCEPT
iptables -A FORWARD -i eth0 -o eth2 -j ACCEPT
iptables -A FORWARD -i eth1 -o eth2 -j ACCEPT
iptables -A FORWARD -i eth2 -o eth1 -j ACCEPT


iptables や route の設定を変えて接続テストを行っていますが、接続することができません。
RedHat については、インストールから行っています。
ネットワーク初心者ですので、行った設定について不備な点・怪しい点について見当がつきません。
確認事項だけでもアドバイスを頂けると助かります。よろしくお願いします。

RedHatで構築したファイアウォールサーバのDMZにアクセスできない原因が解らない。

『図解でわかる Linuxサーバ構築・設定のすべて 一戸英男(日本実業出版社)』を参考に、
RedHat Enterprise Linux 5 で ファイアウォールサーバ(以下、FW-Server)の構築を勉強しています。
構築した環境は以下になります。

========================
TestPC : RedHat
-----------------------
IP : 111.222.333.65/28
========================
  |
==========================
FW-Server : RedHat        ...続きを読む

Aベストアンサー

おそらくこういうことだと思います。(間違っていたらごめんなさいです)
ネットワークが重複しているので、TestPCから見てDMZが同一サブネットであるためゲートウェイ(111.222.333.70)を使用しません。
そのためTestPCブロードキャストドメイン内で111.222.333.75(Web-Server)を探しますが、111.222.333.75(Web-Server)はゲートウェイの向こう側であるため通信出来ないということだと思います。
従って、そもそもDMZ側にパケットが流れません。
そうすると、eth2のIPアドレスへのpingが応答することが不思議だと思われるかもしれませんが、これはLinuxのデフォルトの仕様です。
arp_ignoreをキーワードに調べると詳細がわかると思います。

質問者さんの環境でTestPCとDMZ側のノードが通信出来るようにするためには、proxy_arpの設定が必要だと思いますが、参考書籍にそのような記載はありませんでしょうか。

Qウェブ以外にもリバースプロキシを使いたい

現在VMWarePlayer上のゲストOSで色々なサーバソフトを動かしており、
それに外部(ホストOSが所属するLAN内)のPCからアクセスしたいと考えています。

一般的には、VMWareの仮想マシンのネットワーク設定で「ブリッジ」を選択すればOKですが、
現在LAN内のIPアドレスの払い出しの制限により、それが使えません。
このため、やむを得ずNAT設定を選択しています。

仮にゲストOS上で動いているサーバがウェブサーバであれば、
ホストOS上にApacheなどでリバースプロキシを構築するだけで済みます。
しかし、実際には実験目的で色々なサーバを置いたりしているため、
Apacheリバースプロキシでは対応できません。

そこで、ホストOSの特定のポートへの接続を、別のマシン(ゲストOS)の
特定のポートに繋げる、リバースプロキシを汎用化したようなソフトは無いでしょうか。
※Web用のリバースプロキシとは当然仕組みは異なるでしょうが

ご存知の方いましたら、お願い致します。

Aベストアンサー

これは、VMWareのNAT機能に、ポートフォワードを設定すれば済む話
だと思います。

VMWarePlayerのインストールフォルダに、vmnetcfg.exeという
実行ファイルがありますので、それを起動してポートフォワードを
設定してください。
設定方法は、NATルーターのポートフォワードを設定したことが
あれば、雰囲気で判ると思います。
(参考)
http://www.swingingblue.net/mt/archives/001646.html)

QDMZ領域のWebサーバから外部にアクセスできない

前回別の部分で質問しましたが…
申し訳ないですがもう一度質問させて下さい。

現在社内LANとインターネットをFW経由で接続するべく設定を行っています。
構成は以下の図のとおりです。

 Internet
    |
    |
------------------
| ブロードバンドルータ |
------------------
    | LAN側 *.*.*.41
    |
    | Untrust /eth03 / Route/ trust-vr
    | *.*.*.45                          192.168.100.1
-------------DMZ / eth02 / Route /trust-vr  -----------------
|          | 192.168.100.254            |            |
| netscreen-50|-----------------------------|  Webサーバ   |
|          |                      .|            |
-------------                      -----------------
    | Trust / eth01 / NAT / trust-vr
    | 192.168.4.254
    |
    |
  Switch
    |
    |
  Intranet

*は同じセグメントです。
ここで、DMZ領域のWebサーバからルータへの通信ができずに困っています。

ルータの外側からWebサーバへのpingは応答があるのですが、
Webサーバからルータ(*.*.*.41)へのpingがタイムアウトになってしまいます。

しかし、FWのeth02をTrustにするとWebサーバからルータへのpingが通るようになります。

似たような事象の質問(http://oshiete1.goo.ne.jp/kotaeru.php3?q=1950661)があったので
参考にしたのですが、どうしてもこの部分だけが解決しません。

この事について何かお気付きの方がいらっしゃいましたら、ご教示下さると助かります。
よろしくお願い致します。

前回別の部分で質問しましたが…
申し訳ないですがもう一度質問させて下さい。

現在社内LANとインターネットをFW経由で接続するべく設定を行っています。
構成は以下の図のとおりです。

 Internet
    |
    |
------------------
| ブロードバンドルータ |
------------------
    | LAN側 *.*.*.41
    |
    | Untrust /eth03 / Route/ trust-vr
    | *.*.*.45                          192.168.100.1
-------------DMZ / eth02 / Route /trus...続きを読む

Aベストアンサー

>>Webサーバからルータ(*.*.*.41)へのpingがタイムアウトになってしまいます。

Webサーバ、ルータ共にNSが持っているネットワークなのでルーティングの問題では無く、
ポリシーが無いんだと思います。
(DMZ→Untrust)のポリシーにDMZネットワークからルータネットワークへのPingの穴が
開いているかを確認してください。

Qapache リバースプロキシ

毎度お世話になってます。

タイトルの通りapacheのリバースプロキシの設定で悩んでおります。

単純なリバースプロキシは問題なく動くのですが、
例えば、

ドメインA:back.com
ドメインB:revers.com

があるとして、

back.com/ppp/の中身を
URL:http://revers.com/

で表示させたいのですが、

ProxyRequests Off
<Proxy *>
Order deny,allow
Allow from all
</Proxy>

ProxyPass / http://back.com/ppp
ProxyPassReverse / http://revers.com/

上記では、転送されてURLがhttp://back.comになってしまします。

どなたか詳しい方、もしくは実装されたことがある方いらっしゃいましたら教えてください。。

よろしくお願いします!

Aベストアンサー

分散にしたいなら別の方法で実現する方が無難じゃないのかな。

リバースプロキシは、どちらかというと
(グローバルIPという)入口が1つしかないけど複数のドメイン(サーバ)を使いたい
という場合に用いる物だからね。

Qプロキシサーバ

Webページのリクエストをそのまま返してくれるような
プロキシサーバを探しています。

ただ、ローカルコンピュータではそのプロキシを通してインターネットをするだけです。
Flashとかjavascriptとか、情報のフィルタリングとかそんな高度な機能はいりません。

どこか無料か有料でもかまわないのですが、ご存知の方いらっしゃらないでしょうか。

よろしくお願いいたします。

Aベストアンサー

よく使われているのは、Squid (Unix、フリー、http://www.squid-cache.org/)、Delegate (Unix、フリー、http://www.delegate.org/delegate/)、MS Proxy Server (Windows) の3つでしょうか。(Squid は Windows にも移植されているようです)

性能面やコスト面、情報量から判断しても、私のお勧めは Squid です。

Qリバースプロキシの意味

リバースプロキシの意味について噛み砕いて教えていただきたく思います。ご存知の方がいらっしゃいましたら教えていただけるとありがたいです。よろしくお願いいたします。

Aベストアンサー

http://www5e.biglobe.ne.jp/~aji/3min/ss/ss17.html

[解答表示参照。Operaだと見られませんが。]
こういう役割のプロキシ(代理)のこと。

QプロキシサーバでOperaが使用できなくなってしまいました。

社内ネットワークの管理が,社内プロキシサーバ経由に変更になりました。
IEは,設定により閲覧可能です。
ネスケもパスワード要求のダイアログボックスが出るものの使用可能で,moziraも同様です。
またgoo推薦Firefoxはインストール時にIEの設定を全て受け継いでくれるため,ダイアログボックスさえ出ず,全く快調です。
しかし,Operaだけは「ファイル」→「設定」→「プロキシサーバ」より設定しても,全く受け付けてもらえません。
せめて,ユーザー名とパスワードの設定方法がわかればなんとかなるような気もしますが,その設定方法がわかりません。

ネットワーク管理者に問い合わせても,
「自分で勝手にインストールした物の使用方法まではわからない。」
という返事です。

どなたか設定方法などについて詳しい方,教えてください。
もし不可能なら不可能であることわかると納得できるのですが…。  

Aベストアンサー

おはようございます
Wand 機能を使ってみてもNG でしょうか?
外部のページを開いてから、ツールバー上の「Wand」アイコンをクリックしてみては如何でしょうか?

Qリバースプロキシの役割について??

リバースプロキシについて機能の詳細を教えてください。
http://e-words.jp/w/E383AAE38390E383BCE382B9E38397E383ADE382ADE382B7.html
e-wordsの説明で大まかにはイメージはつかめるのですが、

>中継時にパケットの内容やURLをスキャンするような
>機能を組み込めば、セキュリティが強化される。

がよくわかりません。
例えばパケットの中身を見て攻撃と判断する機能があって、当該通信を遮断したりもするのでしょうか?
そうした場合、IDSにも近い機能になるのでしょうか?

詳しい方、解説よろしくお願いします。

Aベストアンサー

>中継時にパケットの内容やURLをスキャンするような
>機能を組み込めば、セキュリティが強化される。

IP(TCP)パケットに含まれるURL(クライアント→サーバ方向)や、
その応答(=コンテンツ等:サーバ→クライアント)をスキャンする、と言う意味です。

この「パケット」という表現はあまり適していないですね。

ちなみに、リバースプロキシは、HTTPのプロトコルの中継をするので、
このような事が行い易いです。が、中継するプロトコル上に対して有効になるだけで、
IDSとは別物と考えた方が良いでしょう。

Q社内プロキシからWAN上のプロキシを経由

会社でネットをする際に、会社から指定されたプロキシサーバのアドレスをブラウザ(IE8)に設定してネットにつないでいます。
※会社が指定するプロキシサーバはたぶん(LAN)にあります。
このプロキシサーバを経由させないとネットに繋がらないのですが、このプロクシサーバから
さらに自分の指定したプロキシサーバ(ネット上の)等を経由させるにはどこに設定すればよいですか?
ブラウザに2つも設定できないですよね?


やりたいことは

【現状】
ブラウザ → 会社が指定するプロキシサーバ(ブラウザに設定) → ネット



【プロキシ2重経由】
ブラウザ → 会社が指定するプロキシサーバ→ 自分が指定するプロキシサーバ(WAN上の) → ネット

にしたいです。


できませんかね?よろしくお願いします。

Aベストアンサー

社内プロキシを義務化されているとき、ブラウザではその設定ができません。
1段目のプロキシサーバー(会社のLAN上)から2段目のプロキシサーバー(外部)へリクエストを渡すには1段目のプロキシサーバーに定義を設定します。
特定のサイトへアクセスするときだけ2段プロキシも可能ですが定義は1段目のプロキシに設定しなければなりません。
1段目のプロキシを使わずにインターネットへアクセスできる場合はサイト別に中継するプロキシサーバーを切り替える方法があります。

(自動構成スクリプトの例)
http://www.rcnp.osaka-u.ac.jp/Divisions/CN/computer/rcnp.pac


人気Q&Aランキング

おすすめ情報