- 締切済み
社内ファイルサーバをインターネットから分離したい
社内ネットワーク構築に関して 社内のパソコン(Windows 7 Home Premium)が6台有ります。その中の一台をファイル共有専用のパソコンとして利用しています。 社内の環境として社員のパソコン、及びファイル共有のパソコン全て(6台)インターネットが利用出来る環境になっています。 インターネットの環境はNTTのフレッツ光を利用しており、NTTが設置した機材の下にハブを設置し、全てのパソコン及びファイル共有のパソコンが接続しています。 ちなみに、電話もひかり電話を利用しています。 上記の環境で、ファイル共有のパソコンが直接インターネットに接続していることが気になります。セキュリティソフトはインストールしています。定期的にアップデート等も実行しておりますが、普段はだれも利用していないパソコンになります。 今後の事も考え、ファイル共有の専用パソコンは Windows server に変更する予定ですがその際、現状の社内ネットワーク環境を見直したいと思っています。 出来ることであれば、Windows server は直接インターネットに接続させないようにしたいと思っています。 少し調べてみた所、ルーター(業務用)を導入してセグメント分けを行えれば可能かと思っておりますが、この考えで間違いがないでしょうか。 ルーター(業務用)を導入するだけで希望することが可能で有れば、具体的なお勧めのルーター(業務用)を教えて頂けないでしょうか。 ルーターの候補して、ヤマハの製品が良いかなと思っていますが、適切な機種が判断出来ません。 NVR500、RTX810、RTX1200 等々もしくは、FWX120 他に必要になる機材、考え方に関してアドバイスを頂きたいと思います。 アドバイスを頂き、自分が社内ネットワークの構築が難しい場合は、業者への相談することになると思いますが、相談の前に基本的な事は学んでおきたいと思っています。 また、Windows server をインターネットから分離した際、Windows update 等はどうしたら良いのでしょうか、インターネットに接続していなければ Windows update は実行しなくても良いのでしょうか。
- nori_hiro
- お礼率78% (11/14)
- ネットワーク
- 回答数5
- ありがとう数5
- みんなの回答 (5)
- 専門家の回答
みんなの回答
- nnori7142
- ベストアンサー率60% (755/1249)
LANセグメントの分割だけでは無く、セキュリティ保護の観点から、利用端末数とWeb参照・メール機能の台数の観点も有りますので、機器的にはYamaha「RTX1210」とUTM装置と言った形、LAN分割には、Yamaha-L2スイッチでの分割LAN構成になるかと存じます。 ※ http://www.rtpro.yamaha.co.jp/RT/docs/lan-divide/ ご指摘のWindowsアップデートも、各端末の適用状況やセキュリティ確保の均一化も考えないといけませんが、アップデート未適用でのゼロディ攻撃対策や不正アクセス対策も考えないといけません。 UTM装置での複数年セキュリティ・ライセンス契約ですと、セキュリティ機能の統合管理も可能となりますが、年数経過でのセキュリティソフト更新などの手間と時間を考えると、必須の条件になるかと存じます。 FWX120でのセキュリティライセンス契約ですと、精々10台までの管理が処理能力上限となり、内部ファイアーウォール・スループットやセキュリティ負荷時のスループットは、保証しにくい要素となります。 UTM装置は、端末管理台数の関連が有りますが、推奨はFortinet社です。 セキュリティ付加でのスループットは、Fortigate-90Dで実測50Mbps、100Dで実測500Mbpsまでの対応となります。
ファイル共有が目的ならば『NAS』と言う機器を購入すれば簡単です。 Windowsサーバは社内メールサーバとしての利用が多いようです。 ハブの代わりにルータを購入し、ルータのDHCP機能をオフにして 利用するのが最良かと考えます。 ルータ(ハブモード)-////--PC -/-- NAS&LAN接続プリンター ルータ(ハブモード)でアクセス制限等の設定が可能です。 通常のハブの場合単に接続してるだけですので、外内部からの不法アクセス に対処出来ません。
お礼
kiyomac 様 アドバイスをありがとうございます。 「NAS」はネットワーク対応ハードディスクと言う認識で、ファイルを保存することしか出来ない機材というイメージです。利用目的で考えれば十分だと思うのですが、ウィルス対策等はどうするのかな?と思っていました。 基本、他の方からのアドバイスで現状のネットワーク構成は、ルーターの配下にある為、ファイルサーバーへ外部から不正アクセスは無い、運用を注意すればと良いと理解しました。
現在の環境は、全てが同一セグメントと想定します。 (1)ご要望について ファイルサーバのIP設定がDHCPになっていた場合、手動で設定して下さい。 その際、デフォルトゲートウェイは設定せず空白のままにして下さい。 これで、所内からのPCからはファイルサーバにアクセスできますが、ファイルサーバはインターネット接続ができなくなります。 逆にインターネットに接続したい場合には、デフォルトゲートウェイを設定すれば接続できます。 (2)現環境について 現在の環境では、サーバは直接インターネットに繋がっていません。 (おそらく)ルータを介して繋がっています。 "NTTが設置した機材"←これが(おそらく)ルータです。 (3)セグメントに関して 貴所の環境でどうしてもセグメント分けしたいのであればL3スイッチ導入の方が良いかと思います。 (4)その他 昨今、サーバに関してもインターネットへ接続することが一般的であります。 全6台の貴社環境を考慮すると、一般的なネットワーク設計であるかと思います。 特別な事情が無いのであれば特に心配する必要は無いかと。
お礼
taigideatta 様 アドバイスをありがとうございます。 (1)ご要望について 今後は、クライアントPCも含め、IPアドレスは全て固定にして管理したいと思います。ファイルサーバに関しては、デフォルトゲートウェイを空欄にします。 (2)現環境について 他の方にもアドバイスを頂いておりますが、NTTの装置がルーターとのこと理解出来ました。 (3)セグメントに関して セグメント分けをするなら、ルーターでは無くL3スイッチを検討との事、その際は再度検討してみます。 (4)その他 何だか少し安心しました。
- chie65535
- ベストアンサー率43% (8516/19359)
コマンドプロンプトで「ipconfig」とやってみて下さい。 IPアドレスが「192.168.0.xxx」のように、ローカルIPアドレスになっていれば、ファイル共有のパソコンがインターネットに接続できる状態であっても、何も問題ありません。 ローカルIPアドレスになっていれば、そのパソコンは「外の世界からは見えない」ので、中から外には接続できますが、外から中には接続できません(サーバーPC自体にウィルスが入って、内側から通信を開始されると外部に接続されちゃいますが、それは「ウィルス感染時」なので論外です) >少し調べてみた所、ルーター(業務用)を導入してセグメント分けを行えれば可能かと思っておりますが、この考えで間違いがないでしょうか。 「IPアドレスが、ローカルIPアドレスになっている状態」は「すでにルーターが導入されていて、セグメント分けが行なわれている状態」ですから、余計な事はしてはいけません。 ルーターが既に導入されている状態で、更にルーターを入れると「2重ルーター」と言う状態になって、ルーターに専門的で細かい設定を施さないと、内部のコンピューターはインターネットに接続出来なくなります。 >インターネットの環境はNTTのフレッツ光を利用しており 光回線の場合、光ケーブルの先に「終端装置」と「ホームゲートウェイ装置」が付いていると思います。 この「ホームゲートウェイ装置」は「ルーターの機能」を持っていて、WAN側(外部)とLAN側(内部)で、セグメントが分けられています。 ファイルサーバーだけを完全に外部から切り離す場合は、以下のように「2重ルーター」にする必要がありますが、高度な設定が必要です。 光回線 | (WAN側) ホームゲートウェイ装置 (LAN側) | +----+-+--+----+セグメント1(192.168.0.xxx) | | | | PC PC PC (WAN側) 追加ルーター (LAN側) | +セグメント2(192.168.1.xxx) | ファイルサーバー 普通に上記のように設置しても、各PCは「ファイルサーバーは、追加ルーターの先にある」のを判りませんから、各PCからファイルサーバーは見えなくなってしまいます。 また、ファイルサーバーと各PC間で通信するには「追加ルーターで、WAN側ポートから来た通信接続を、LAN側ポートに通過させる設定」が必要になります。通常、普通のルーターは「WAN側ポートから来た通信接続はすべて遮断するのがデフォルト」なので、何の設定もしないで居ると、各PCとファイルサーバーは通信できません。 これらの「高度な設定」は「どういう機器が必要か判らない」などと言っているレベルの人では、設定するのは不可能です。
お礼
chie65535 様 アドバイスをありがとうございます。 「ipconfig」を実行した所、IPアドレスは「192.168.0.xxx」となっています。 ローカルIPアドレスになっています。 この状況であれば、ファイルサーバからインターネットに接続が出来ても、基本外部からの不正アクセスは防ぐことが出来る状態と理解しました。 後は、今後ファイルサーバではWEBサイトの閲覧や、メール等は利用しないようにしたいと思います。 質問した意図は、以下のイメージでした。うまく表現出来ず申し訳ありません。 光回線 | (WAN側) ホームゲートウェイ装置 (LAN側) | 新規ルーター || | +-------------+ (192.168.1.xxx) | | +----+-+--+(192.168.0.xxx) | | | | | PC PC PC ファイルサーバー 専門的な知識が無ければ設定出来ないとの件、判りました。 まずは、現状のネットワーク構成でも大丈夫とのことで、ひとまず安心しました。業者さんに相談する際は、アドバイスを頂いた構成で相談したいと思います。
- t_ohta
- ベストアンサー率38% (5071/13248)
Windows Serverをインターネットに接続できなくするとWindows Updateが面倒です。 また、ファイルサーバとクライアントPCのセグメントが異なると、ルーティングの設定等が必要になりますので、使い勝手が落ちます。 Windows Serverがインターネットにアクセスできる事の何を心配されているかによって、対策が異なってきます。 外部からの攻撃について心配されているのであれば、NTTが設置して行った機器にルータ機能があってNAPTが動作しているはずですので、ルータのポート開放等の設定をしない限り直接攻撃を受けることはありません。 誰かがServerにログインして不用意に危険なWebサイトにアクセスしたり、怪しげなソフトをダウンロードすることでウイルスに感染するような事態を気にされているのであれば、アクセス権の管理をしっかり行い、管理者以外がServerにログインしないようにする事が大事です。 クライアントPCがウイルス等に感染し、共有フォルダにあるファイルがウイルスに感染したり、破壊・漏洩する事を気にされているのであれば、クライアントPCのセキュリティ対策の徹底と社員教育が重要です。 セグメントを分けた所で、共有アクセスしていたら被害は免れられません。
お礼
t_ohta 様 アドバイスをありがとうございます。 心配しているのは、外部からの不正アクセスに関してです。 今後、各パソコンのデータは極力、ファイルサーバに保存するようにしたいと思い、ファイルサーバが現状インターネットへ接続出来ている状況であれば、外部から何らかの方法でアクセスされる可能性があるかと思い、質問させて頂きました。 他の方からも現状のネットワーク環境で有れば、大丈夫とのアドバイスを頂いております。 自分も、Windows server をインターネットから隔離した場合、update 等はどるなるんだぁ?と漠然とした疑問が有ったのですが、アドバイスを頂き納得しました。 クライアントPCに関して、自分が定期的にメンテナンスしています。利用者に関してはもう注意してもらうように相談しかないと思います。
関連するQ&A
- 社内ネットワークをインターネットに繋ぐ方法
サーバー(ファイルサーバー)とクライアント計20台で社内ネットワークをワークグループで構成しています(LANケーブルとHUBで繋がっています)。今までインターネットに繋げていなかったのですが、新しく光回線を引こうという話が出ました。その場合、光回線終端装置に新規購入したルーターを繋げて、ルーターからどこかのHUBに繋げれば、全てのパソコンでインターネット出来るようになるのでしょうか? また「インターネット出来るのはクライアントのうち5台だけでいいのでは?」という話も出ているのですが、ルーターを無線LANにすることにより、その5台のパソコンで、有線で社内ネットワーク、無線でインターネットを同時に利用することは可能でしょうか?
- ベストアンサー
- ネットワーク
- サーバのインターネット環境の共有
サーバ(Win2000)のインターネット環境を共有したいと考えてます。 そこで、サーバにてインターネットの共有をしようとしたところ、 IPが強制的に、192.168.0.1になってしまいました。 (その旨のメッセージも出ましたが。。。) 192.168.0.1はルータにふってあるので、 IPを変更せずに共有する方法がありましたら教えて下さい。 <環境> サーバ(192.168.0.2)はCOM1→TA→インターネット(ISDNのダイヤルアップ接続)です。 また、ルータ(192.168.0.1)の下にサーバとクライアント(192.168.0.3)があり、 このクライアントからサーバのインターネット環境を利用したいと考えています。 宜しくお願いします。
- ベストアンサー
- その他(インターネット接続・通信)
- 社内ファイル共有サーバの効果的な利用について
私の会社ではファイル共有サーバを使ってますが、社内で上手く利用できていません。他の支店・事業所に行ったときにもファイルにアクセスできるのが、ファイル共有サーバのメリットだと思うのですが、それが中々上手くいきません。 本社・支店を問わず、「この施設・部屋では社内LANに接続できない(またはLANケーブルをPCにつなぐのに手間がかかる)」とかいうことが多く、いざという時になかなか有効利用できません。そういうとき、せっかくファイル共有サーバがあるのに、データをUSBに入れて持って行くことばかりです。 社外ならともかく、同じ社内の事業所で、セキュリティに難があるUSBに頼りきりなのは、どうにも嫌です。上記のような、LAN接続とかの問題に対し、どのような対策を取って、ファイル共有サーバを有効利用すれば良いのでしょうか。
- ベストアンサー
- その他(インターネット・Webサービス)
- 社内ネットワークの共有ファイルサーバにアクセスできない
社内ネットワークの共有ファイルサーバにアクセスできない という事象が生じております。 どうすればつながるようになりますでしょうか。 【詳細】 ・スタート>ファイル名を指定して実行>\\AAAdata(共有ファイルサーバ名)\ により、一定時まで使っていた共有サーバにアクセスできなくなった(ネットワークパスが見つかりません、と表示される)。 ・cmdからping AAAdataとうつと、Replyがあるのでつながってはいる ・他の社内共有ファイルサーバには「ファイル名を指定して実行」によりアクセス可能 ・重たいファイルのコピー→ダウンロードを何度もやっていた。 何度目かのダウンロード途中で画面が固まり、端末の再起動をかけたらつながらなくなった ・他の端末からもつながらない ・ファイル名を指定して実行>\\111.11.11.1(AAAdataのIP)を打つと、 「指定されたネットワーク名は利用できません」と表示される
- ベストアンサー
- その他(インターネット・Webサービス)
- 社内ファイルサーバでファイルを参照できないんです。
最近入った会社には、”社内サーバ”という明細書や業務に関するエクセルファイルなどが置かれたサーバというのがあり、Windows XP professionalで共有ファイルとして稼働しているそうで、自分のアカウントとパスワードを自分のPCに入れるだけで自分のPCのログインと同時にその”社内サーバ”にもログインされているんだそうです。確か、「自分のアカウントとパスワードがその”社内サーバ”にpowerusersというグループに登録されている」とのことです。 しかし、その社内サーバのなかのファイルを取り出そうと、アクセスしてみると、”アクセスできない”みたいなエラーメッセージが出てきて、”ネットワークの管理者に問い合わせてください”とのメッセージも出てきてファイルがみれません。 会社でこのサーバを作成した人に問い合わせてみたところ、powerusersに私のアカウントとパスワードは登録したとのことでした。登録したときのパスワードが間違っているのではないかということで、再度パスワードも設定し直してもらったのですが、閲覧することができません。 試しに同僚に頼んで、同僚のPCに自分の自分のパスワードを登録したアカウントを作成してみてもらったところ、その社内サーバのファイルやフォルダをみることができました。しかし、自分のPCからだけは閲覧することができません。 自分のPCは、以前働いていた方が使用していたPCだそうで、その人のアカウントの名前を自分のものに変更し、自分のパスワードに変更して現在使用しています。 もしわかる方がいらっしゃいましたら、お知恵を拝借よろしくお願いします。
- ベストアンサー
- Windows XP
- 無線でネットに繋がるのに社内ネットワークに繋げない
社内に8台のパソコンがあり社内ネットワークを利用してデータの共有を行っています。 そのうち無線で接続している1台のノートPCをWINDOWS7から10にアップグレードしたところ、インターネットには普通に接続できるのですが、社内のネットワークに接続できません。 ただ、このノートPCにLANケーブルを接続すると普通にネットワークに接続できます。素人なりに色々と試してみましたが、解決方法がわかりません。どなたかアドバイスを頂けると助かります。よろしくお願いします。
- ベストアンサー
- Wi-Fi・無線LAN
- 社内サーバーについて
こんばんは。 私の勤めている会社の社内サーバーですが、 社内サーバーにアクセスして色んな共有ファイルを開いたりする時、 私のパソコンからだけは何故か非常に遅いんです。 開くまでに1分くらいかかったりします。 他の人は早くて、私のパソコンは他の自分のパソコン内のファイル を開く時や他の動作は全然問題なく早いです。 何故なのでしょうか。社内の者に聞いても分からない(ホントか!?) と言われ、困っています。 社外の方に聞いても分からないかも知れないのですが、こういう場合の 考えられる点についてお教え頂きたく、宜しくお願い致します。
- ベストアンサー
- 経営情報システム
- 社内サーバーやサーバー内のファイルのみ接続が遅い
こんにちは。早速ですが質問です。 現在、会社でパソコンを使用しています。インターネットやデスクトップ上の ファイル(エクセルやワード)を開く時はスイスイ動くのですが、 社内サーバーにアクセスする時に異常に遅いです。以前はそんなことは なかったのですが…サーバー内のファイルを開くときもすごく遅いです。 そのファイルをデスクトップ上に持ってくると一瞬で開けます。社内の 他のパソコンでは何ら問題が無いのです。自分のパソコンだけ遅いといった状況です。 何か対策は無いでしょうか? パソコンはXP でインターネットは光を利用しています。 初めて質問するのですが、どのような情報が必要なのか分からないので もし、ここに書いている以外に必要な情報があれば調べますので教えて下さい。 私は本当にパソコン素人なので、詳しい対策方法(画面左下のボタンを右クリックして…とか?) を教えて頂けると助かります。申し訳ありませんがよろしくお願いします。
- ベストアンサー
- Windows XP
- ネットワークのセキュリティで悩んでいます。
社内のネットワークについてなのですが、現在社内に2つのネットワーク(グループ)があります。1つは基幹業務を行っており、外部と接続することはありません。一方のネットワークはWebやメールを主に利用しています。前者はWindowsNTServer4.0(PDC)でのファイルやプリンタを共有しており、後者とは物理的につながっておりません。しかし業務の都合上、前者のサーバにあるデータを後者につながっているクライアントが利用したいとの要望が出できました。前者のプロトコルはNetBEUIで、後者はDHCP(ルータ)からIPを取得するようになっております。そこで、前者のサーバへ後者のクライアントが接続する場合、NetBEUIで接続しようと思うですが、こんな安易なやりかたでセキュリティはだいじょうぶでしょうか?あるいは、もっと良い方法(あまりお金をかけずに)がありますでしょうか? お教えいただければ幸いです。 (後者はルータを共有しているだけで、社内にサーバはありません)
- ベストアンサー
- ネットワーク
- VPNと業務用ルータと家庭用ルータ、どれにする?
知人の相談で、20人ほどが利用する小さな団体のネットワーク環境で、家庭用ルータが壊れてしまってインターネットが使えなくなってしまったとのことです。 肝として必要なのは社内サーバへのアクセス、それとインターネット接続ですが、買い替えは業務用ルータの方が良いでしょうか? また、もしも支店からも社内ネットワークにアクセス可能にしたいとなると、VPNが必要になるように思うのですが、どれほどの投下コストがかかるものでしょうか?
- ベストアンサー
- ネットワーク
お礼
nnori7142 様 アドバイスをありがとうございます。 ご返事が遅くなり失礼いたしました。 LANの分割に関しては、ヤマハのL2スイッチで可能とのことありがとうございます。 また、UTM装置の件アドバイスありがとうございます。 UTMとは何か調べて見ました。統合脅威管理との事でWEフィルタリング、ウィルス検知、不正侵入防止、ファイヤーウォール等々の機能を1台の装置にまとめた機材と理解しました。 セキュリティを保つ為にも、UTM装置は必須に装置と理解しました。 是非とも、同時に導入を進めたいと思います。予算もありますがまずはお勧めのFortinet社の製品を検討してみたいと思います。