運用 Windows 2000 LAN防衛術
ISA Serverのインストールとセットアップ(第1回)

2.ISAサーバのインストール(1)

デジタルアドバンテージ
2001/07/24


 さてそれでは実際にISA Serverのインストールと設定を行ってみよう。今回は、スタンドアロン構成のWindows 2000 Server上に、ISA Server Standard Editionを導入することにする。あらかじめWindows 2000のインストールとService Packの適用は完了しているものとする。Windows 2000 Serverは、内部ネットワーク上にあるドメインのメンバー・サーバ(ドメイン・コントーラとしては機能しないサーバ)としてもよいのだが、セキュリティ的にはなるべく隔離していた方が安心なので(例えばISA Serverが外部からの侵入を受けると、システム内部のユーザー名などの関連情報も同時に盗まれてしまう、というような危険性があるので)、ここでは独立してインストールすることにする。ただし、Enterprise Editionを導入してアレイ構成にする場合や、ISA Server専用のクライアント・ソフトウェアを使って自動的に(統合化された)ユーザー認証なども行わせようとすると、ドメインのメンバにしないといけないので、そのあたりのトレードオフも考慮して、各組織ごとのポリシーや運用ルールなどを決めていただきたい。

ISA Serverの試験導入の勧め

 スタンドアロンの状態でもISA Serverの(アレイ構成以外の)一通りの機能は利用できるので、120日評価版を使ってISA Serverの機能やパフォーマンスを調査する場合や、正式な導入のための予備調査などを行う場合は、スタンドアロン構成のほうが簡単でよいだろう。特にISA Serverを導入する場合は、予想されるネットワーク・トラフィックの見積もりや、それに基づいたネットワーク機器の効果的な導入、配置をするためにも、正式導入前に、1週間から、できれば1カ月程度の試験運用をすることを是非お勧めする。これに基づいてキャッシュやログ・ファイル領域として必要なサイズを決めたり、ネットワーク機器の配置(ハブやネットワーク・カードの増設など)を決めれば効率のよいシステム投資ができるだろう。なお試験導入する場合は、CPUパワーは実際にはさほど要求されないので(インターネットへの接続回線が1.5Mbpsか、せいぜい数Mbps程度ならば、Pentium-II 500MHzもあれば十分である。これでもCPU負荷が100%になることはまずない)、現在使用中の機器でも十分検証することが可能であろう。

ログ・ファイル領域の見積もりについて

 インストール作業そのものは、セットアップ・プログラムを起動して、後はウィザードに従って作業を進めていくだけである(この詳細についてはすぐ次で述べる)。インストールされるプログラムのサイズは全体で約100Mbytes程度であるが、このほかにアクセス・ログ領域とProxy用のキャッシュ領域がそれぞれのユーザー環境に応じて必要となる。Proxy用キャッシュ領域のサイズは固定的に確保されるし、複数のパーティションに渡って分割して置くこともできるので、あらかじめ計画的に配置、運用することもできるが、ログ・ファイルの方はトラフィックに応じて量が変わることになるので、なるべく余裕のあるパーティション構成にしておく必要がある。ログ・ファイルには、(デフォルトでは)すべてのトラフィックの記録(通過/ブロックしたパケットのIPアドレスやポート番号などが記録される)が残されるので、かなり大きなファイルが生成されることになる。実際にいくらのディスク領域が必要になるかはユーザーのネットワークの状態に大きく依存するので、事前に正確に見積もることは難しい。前述したとおり、可能なら1カ月程度の試験運用を行って決めていただきたい。

 参考までに弊社の例を述べておこう。弊社(デジタルアドバンテージ)ではインターネットへは1.6MbpsのSDSL回線を使って常時接続しているが、先月分の例だと、ユーザー数が10人程度で1カ月あたり合計7Gbytes程度のトラフィックになっている(このトラフィック量とはISA Serverのトラフィック・レポートで表示される値のこと)。このうち90%以上がWebへのアクセスである(今後トラフィックはさらに増える予定)。この状態で1カ月分(30日分)のログは900Mbytes弱である(実際にはログ・ファイルは圧縮属性付きのテキスト・ファイルなので1/4程度に圧縮され、ディスク上では200Mbytes弱しか占めていない)。現在のところは外部に向けてサービスを公開している訳ではないので、このトラフィックはすべて内部ネットワークからインターネットへのWebやFTP、メールなどのアクセスということになるが、組織によってはもっとユーザー数が多く、トラフィックも多いかもしれない。かなりおおざっぱではあるが、トラフィックが1カ月当たり10Gbytesならばログ・ファイルのサイズは1Gbytes程度になる(圧縮されるので実際にはこの1/4程度)、と考えておけばよいだろうか(ログ・サイズは総トラフィック量に比例する)。がこれはあくまでも弊社における一例なので、正確なサイズについては試験導入などで見積もって欲しい。

 ところでログを残しておく期間としてここでは1カ月程度としているが(ISA Serverのデフォルト設定では7日分となっているが)、ディスクに余裕があるならばもう少し長く(3カ月から半年ぐらい)したほうがいいだろう。これは、外部から侵入された場合などに、過去にさかのぼってその痕跡などを調査できるようにするためだ。最近ではディスクも安価になっているので、無理にディスク領域を節約するよりも、万一のセキュリティ対策に投資するほうが得策と思われる(もちろん常にISA Server上に格納しておく必要はないので、適宜バックアップしたり他のマシンへ移動してもよいだろう)。ログ・ファイルは1日単位で1ファイルずつ生成されるので、取り扱いも簡単なはずだ。

 なおログ・ファイル領域は(非同期の)書き込みしか起こらないので、あまり高速なディスクである必要はないが、Webのキャッシュ領域は読み出しも書き込みも多いので、これらとはパーティションを分け、可能なら高速な物理ドライブの利用を検討したほうがよいかもしれない(もっとも、低速なインターネット・アクセス回線ではそのメリットは少ないが)。

ISA Serverの動作モードの設定

 それでは実際にインストトールを始めてみよう。CD-ROMをシステムに挿入すると、自動的にインストール用のダイアログが表示されるので、そこからISA Serverのインストールを起動して、インストールオプションやインストール先などを指定してインストール作業を行う。以下、重要なポイントについて説明しておく。

 インストールの初期段階で、次のような、ISA Serverの動作モードを設定・変更する画面が表示される。

ISA動作モードの設定
インターネットに直接接続されていない場合はキャッシュ モードを選択するが、ファイアウォールとしても利用するなら、ファイアウォール・モードか統合モードを選択する。いったんインストールした後でモードを変更するには、再度ISAのセットアップ・プログラムを起動する必要がある。
  ファイアウォール モード――パケット・フィルタやNAT、SOCKS機能だけを使用する場合に選択する。
  キャッシュ モード――Web Proxy機能を使用する場合に選択する。
  統合モード――上記の2つの機能を両方提供するモード。

 ファイルウォール・モードは、内部ネットワークと外部ネットワークの間でパケットを中継するモードである。内部からはインターネットへ(NAT機能を経由して)自由にアクセスできるが、外部からは内部のネットワークは守られる。

 キャッシュ・モードは、WebのProxyキャッシュ機能だけを使うモードである。通常は、内部ネットワーク上に配置し、Webのキャッシングだけを行わせ、ファイアウォールは別途用意することになる。社内に複数のキャッシュ・サーバがあるような場合に有用なモードである。

 統合モードは以上の両方の機能を持つモードであり、小さな組織などでは、これだけでインターネットと内部ネットワークとの中継装置として機能することになるだろう。

モード 意味
ファイアウォール ファイアウォール機能(SecureNAT/SOCKS/パケット・フィルタ/ポリシー・ベースのアクセス制御など)を使う。Webのキャッシュ(Proxy)以外のISA Serverのすべての機能が利用できる
Webキャッシュ Webプロキシを使うモード。上のファイアウォール・モードと比べると、アプリケーションごとのプロトコル・フィルタ、ファイアウォール・クライアント(NATを利用するモード)、パケット・フィルタ、サーバの公開、VPN機能などが利用できない
統合 上記のファイアウォールとWebキャッシュ機能の両方を使う。ISA Serverのすべての機能が利用できるモード
ISA Serverの動作モード
ISA Serverは、その使用目的に応じて、このいずれかのモードでインストールする必要がある。

 インターネットに直接接続されておらず(インターネットへは、ルータの持つNAT機能や、他のファイアウォール・システムを経由して接続されている)、Webキャッシュ機能だけを使う場合は、「キャッシュ モード」を選択する。これに対して、インターネットへ直接接続されているネットワーク・セグメント上へISAサーバを配置する場合は、「ファイアウォール」か「統合」モードを選択して、ISAサーバ自身もインターネット側からの攻撃などに備える必要がある(モードを変更するには、再度ISAのセットアップ・プログラムを起動する)。


 INDEX
  [運用]Windows 2000 LAN防衛術
  第1回 ISA Serverのインストールとセットアップ
    1.ISAサーバの機能とシステム要件
  2.ISAサーバのインストール(1)
    3.ISAサーバのインストール(2)
    4.ISAサーバのインストール(3)
 
 運用

@IT Special

- PR -

TechTargetジャパン

Windows Server Insider フォーラム 新着記事
@ITメールマガジン 新着情報やスタッフのコラムがメールで届きます(無料)
- PR -

イベントカレンダー

PickUpイベント

- PR -

アクセスランキング

もっと見る

ホワイトペーパーTechTargetジャパン

注目のテーマ

Windows Server Insider 記事ランキング

本日 月間
ソリューションFLASH