• ベストアンサー

WWWサーバを社内に移動するときのFWの設定変更について

セキュリティアドミニストレーター受験予定者です。 ある参考書の問題に次のような話がありました。 DMZのWWWサーバから社内DBへアクセスする際、ポート番号がパケットのたびに変わるのでファイアウォールで通らないときがある。その対策として、WWWをDMZから内部LANへ移動するとよい。しかし、WWWサーバの公開用アドレスから社内用アドレスに変換が必要なため、WWWサーバに新しく付与したIPに対してファイアウォールのフィルタリング設定を行う必要がある。 と書かれていました。しかし少し意味が分かりません。。質問は・・・ 1.DMZにあるときはWWWには公開用アドレスのみ持っていて社内用アドレスは持っていなかったというのは間違いないでしょうか? 2.外部インターネットとWWWサーバは今までどおり公開用アドレスでやりとりするのでその設定に変更はないが、たとえば内部クライアントとWWWがやりとりするときに内部アドレスを使用するのでその設定が必要?ということでしょうか? 3.しかし2の場合、ファイアウォールは通らないので設定が必要ないように思えますが必要となる理由は何でしょうか? 初心者的な質問ですみませんがよろしくお願いします。

質問者が選んだベストアンサー

  • ベストアンサー
  • pakuti
  • ベストアンサー率50% (317/631)
回答No.2

内部に持ってきたWWWサーバに対してNATをかけて80番ポートを通すと言う事でしょう。 DMZをプライベートアドレスで運用してグローバルIPとの1対1NATにする場合などもあります。 直接グローバルIPの場合もあるでしょう。 前提条件が何かしら書かれていると思われます。 問題文を読む限りでは、元はグローバルIPでプライベートIPに変更したので そのプライベートIP用にフィルタリングの設定が必要ですよ と言う事でしょう。

その他の回答 (1)

  • peachfish
  • ベストアンサー率50% (10/20)
回答No.1

私はセキュアドを持っておりませんのでご了承ください。 WWWサーバは公開用アドレスから社内用アドレスに設定し直します。 公開用アドレスをF/Wに付加して、静的NATで社内用アドレスを付加したWWWサーバに転送するのではないですか? ただ、外部から内部に対してリーチャブルに接続される問題がありますので、セキュアド的にOKかどうかはわかりません。

  1. カテゴリ
  2. [技術者向] コンピューター
  3. ITシステム運用・管理
  4. ネットワーク

関連するQ&A

  • Firewall-1のアドレス変換について

    現在、Firewall-1 Ver4.1の設定で悩んでいます。 DMZセグメントにプライベートアドレスを付与したサーバを設置し、グローバルアドレスのNAT変換を使用して、外部に公開したいと思っています。オブジェクトの設定でスタティックなNATの設定をしましたが、インターネットからアクセスできません。サーバでsnoopしてみてもパケットがサーバまで届いていないようです。 Firewall-1 ver3.0のWindows版では、たしかオブジェクトにNATの設定をするだけではだめで、ARP解決用のファイルを作る必要があったかと思うのですが、Ver4.1でも、ARP用に何か設定は必要なのでしょうか? 以上、ご教授ください。

  • WWWサーバ構築のしかた

    社内LANを利用してWWWサーバを構築することになったのですが、サーバ構築方法がいまいち理解できません。どういう風にセットアップをすればホームページを公開できるのでしょうか?使用しているOSはWindowsXP Professionalです。

  • 【Firewall-1】unknown established TCP packet

    こんにちは。 現在、Firewall-1 ver4.1を使ってネットワークを構築しています。DMZセグメントにサーバを設置し、グローバルアドレスに変換して公開しています。 ARPの設定を行いましたが、外部からサーバにアクセスできません。ログを見ると、外部からのTCPのSYNパケットに対する応答が、ファイアウォールで拒否されているようです。rule0でunknown established TCP packetという理由ではじかれています。 どのようにすれば、正常にセッションが張れるでしょうか?

  • リレーメールサーバの設定について

    現在社内にあるAD環境と連携させてExchangeサーバ(goo.local)をたてました。 社外とのメールのやり取り用には、DMZにリレーメールサーバを置いて経由させる予定です。 このリレーメールサーバでxxx@goo.localとなっている社内用アドレスを、外部用のメールアドレス(例 xxx@goo.co.jp)に変更させて送受信することはできますでしょうか?(リレーメールサーバ側で設定? Exchangede側で設定?) また、リレーメールサーバに外部DNSサーバ機能も追加するのですがMXレコードの記述なども必要だだと思うのですがMXレコードに記述するのは、リレーメールサーバでよいのでしょうか?ExchangeサーバをMXレコードに記述するのでしょうか? ご教授よろしくお願い致します。

  • FW機器を交換したらサーバ応答が無い

    いつもお世話になっております。 このたび社内NWのファイアーウォール機器をSSG5からFotiGate40Cに移行する ことになりました。 DMZ内にはWindowsのWEBサーバ、Linux(Redhat)のDNSサーバと メールサーバ(SendMail)が入ってます。 各種設定をFortiGateに施しSSG5と入れ替えたところ、メール送受信が 接続は確立するものの、移行の通信がタイムアウトになってしまいました。 パケットを採取しFortiGateサポート担当の方に見てもらったところ、 「FortiGateからメールサーバへはちゃんと通信しているが、サーバから応答が無い」 ということが判明しました。 そこでお教えいただきたいのですが、FW機器が変わることでメールサーバーが 応答しなくなる原因について考えられることはどういったことがありますでしょうか? 確認事項のコマンドなども教えていただければ幸いです。 これまでの背景や調査結果、設定状況を以下に列挙します。  ・SSGの設定をした社員は、パスワードを告げずに失踪。  ・メーラーにはPOP3(110番)とSMTP(587番)を設定。ユーザ認証あり。暗号化無し。  ・FortiGate移行後も、WEB閲覧、および、DNSによる名前解決は出来ている。  ・LAN内からメールサーバーにTELNET接続を試みた場合、110番ポートはOKだが   587番ポートは接続不可となる(SSGとFortiGate両方とも)  ・↑をDMZ内からのマシンから実行しても同様の結果になる。  ・メールサーバ内でTELNET接続すると、587番でも接続可能(当たり前か・・・) SSGの中身はパスワード不明なので見れないのですが、 これまでの流れから、各種IPアドレスやFWポリシーはSSGとFortiGateで差異は ないと考えています。あとはメールサーバ内のFW設定が怪しいのかな?と 思うのですが、メールサーバがSSGとFortiGateを区別するのも無理な話のはず。 よって、手詰まりの状態です。 どうぞよろしくお願いいたします。

  • ciscoルータ892JのDNSサーバ設定について

    ルータに関して初心者です。 勉強をかねてcisco892Jルータの設定を行っています。 画像にあるように、892JのスイッチングポートにVlan10とVlan20を割り当てています。 Vlan20は内部ネットワークとしてクライアントを接続し、892JのDHCP機能によりプライベートIPアドレスを割り当てています。 Vlan10はDMZに設定し、外部に公開するWebサーバを配置しています。 892JにはグローバルIPアドレス133.**.**.**を設定し、Webサーバの名前はwww.aaa.bbb.jpとします。 上位ルータからは、133.**.**.**の属するネットワーク宛ておよびaaa.bbb.jp宛てのパケットが転送されます。 このとき、外部から133.**.**.**およびwww.aaa.bbb.jpでWebアクセスがあった場合にWebサーバのトップページが表示されるよう、DNSの設定を行いたいです。 いくつかのサイトなども参考にしたのですが、よくわからないので、教えてください。 現状、クライアントから外部へはNAT機能を用いてWebアクセスなどが可能な状態です。

  • DNSサーバのレコード変更時の制限事項について

    DNSの仕組みとして、再帰的問い合わせを担当するDNSサーバ(DNSリゾルバ)は、名前解決情報のキャッシュをもつことで、名前解決の高速化・効率化を図るという認識でおります。 ここに、公開リソースとして、WWWサーバとDNSサーバがある環境があるとします。 WWWサーバのIPアドレスが変更になったため、DNSサーバ上のレコードを更新します。 ここで、外部からこの公開WWWサーバを見るときを考えると、公開DNSサーバ上のレコードが更新されても、外部PCが利用するDNSリゾルバ上のキャッシュが消えるまでは、名前が旧IPアドレスで解決されてしまうので、アクセスできないということになるのでしょうか? 一般に、公開WWWサーバのIPアドレスが変更する等といった理由でWWWアクセスができなくなる場合、サービス停止時間はどれくらい見込めばよいのでしょうか?

  • WWWサーバーの構築

    自宅の使わなくなったパソコンを利用して自宅サーバー(WWWサーバー)として利用しようと思っております。 OSはWindows2000Proです。WWWサーバソフトはAN HTTPDを使用しています。そしてダイナミックDNSを使っております。 そこで少し問題点が出てきてしまったのでこの場をお借りして質問させていただきます。 問題というのは、ダイナミックDNSで変換したアドレス(例aaa.ath.cx)を打ち込むとホームページには飛ばず、ルーター(モデム?)の設定画面に飛んでしまいます。 一応、ダイナミックDNSではグローバルIPに変換できているようです。 私もサーバー構築には全くの初心者ですので本当にグローバルIPに変換できているのか心配です。グローバルIPというのは確認君の項目で現在接続している場所(現IP)というところでいいのでしょうか? 以上、質問が多くなってしまい申し訳ありません。 どなたか私にご教授してくだされば幸いです。 どうぞ宜しくお願いします。

  • Internet(サイト)の接続速度が遅い

    初心者です。 お願いします。 現在、インターネットVPNにてネットワークを形成しています。ファイアウォールで内部セグメント、DMZに分かれている内で、DMZにwebサーバ、外部メール(DNSサーバ)、VPNルータ経由で内部に社内メールサーバ(プロキシサーバ)があります。 外部からインターネットアクセスするとどうもアクセス速度が遅いです。何か解決策がございますか? ご回答宜しくお願いします。 環境: プロキシサーバ:Redhat3.0         squid.conf編集済み 設定: squid.conf:http=8080       acl xx.xx.1.0 http_accses       上記を入力 INTERNETオプション:       プロキシアドレス設定         

  • ntpサーバの置き方

    DMZ、内部ネットワーク全端末(サーバ、クライアント含む)で、時刻調整をするために、ntpサーバを置こうと思っています。 どのように設置するのが一番いいのでしょうか? DMZには10台ほど端末があり、社内には100台ほど端末があります。(社内は今後300台ぐらいまで増える可能性あり) ネットワークは、下記のような構造になっています。 <ネットワーク構成> インターネット  | FW--DMZ  | 社内ネットワーク 案1、DMZにntpサーバを1台設置する。      流れ1.DMZ設置ntpが、外のntpサーバと同期      流れ2.DMZ設置ntpサーバに、社内とDMZ全端末を向ける。 案2、DMZ、社内にntpサーバを1台ずつ設置。      流れ1.DMZ設置ntpサーバが、外のntpサーバと同期      流れ2.DMZ設置ntpサーバと、社内のntpサーバが同期      流れ3.「dmz端末は、DMZのntpサーバと同期」「社内端末は、社内のntpサーバと同期」のように全端末設定する 案1をとると「設定ポイントがdmzのntpサーバ1台なので、 状況に合わせてntpを変える必要がない。ただ、ntpサーバの負荷は案2より高い。」 案2をとると「設定ポイントがntpサーバ2台なので、状況に合わせてntpを変える必要あり。ただ、ntpサーバの負荷は案1より低くなる。」 どちらの案でntpサーバーは設置するのが普通なのでしょうか? ご教授お願いします。

注目のQ&A

カテゴリ

専門家に質問してみよう

職業から探して質問する

あなたにピッタリな商品が見つかる! OKWAVEセレクト

質問する