製品レビュー
ISA Server 2004

第1回 ISA Server 2004の概要

2.ISA Server 2004の新機能(2)

デジタルアドバンテージ
2004/08/06

柔軟で分かりやすくなったセキュリティ/ファイアウォール設定

 ISA Server 2004はパケット・フィルタを中心としたセキュリティ機能を持っているが、従来のISA Server 2000と比較すると、その内容や設定方法が整理され、扱いやすくなっている。また複数のフィルタ・ルールを定義する場合、それが適用される順番(フィルタの優先度)を明確に指定できるようになった。フィルタ・ルールに優先度があり、指定された順に適用されるのはファイアウォールやルータでは一般的であるが、ISA Server 2000ではやや変則的な方法が採用されていたので、あまり使いやすいとはいえなかった。

 さらにISA Server 2004では、ネットワークの構成に応じて適宜定義する「ファイアウォール ポリシー ルール」以外に、あらかじめ基本的なプロトコルの扱いについて定義する「システム ポリシー ルール」というものが用意されている。システム・ポリシーには、例えばDHCPDNS、ICMPなどの通過を許可するか、それとも拒否するか、などが定義されており、システム全体のデフォルトとして適用される。従来のISA Server 2000では、このような基本的なプロトコルも、ネットワークの構成に応じて定義するルールも同等に扱われており、慣れないと設定が分かりづらかった。

ファイアウォール・ルールの管理
定義されているルールの一覧画面の例。上部にはデフォルトのルールである[システム ポリシー ルール]が表示され、ユーザーが定義したルールはその下の[ファイアウォール ポリシー ルール]に表示される。上にある方が優先度が高くなっており、先に適用される。これは一般的なルータやファイアウォールにおけるパケット・フィルタの設定と同じであり、従来のISA Server 2000よりも分かりやすくなっている。
  ルールの優先番号。上の方ほど優先度が高く、先に処理される。また、29番のルールのアイコン(鍵穴マーク)には赤い下矢印が付いているが、これは一時的にルールが無効になっていることを表す。
  条件にマッチした場合の処理。[許可]はパケットを通過させ、[拒否]はブロックすることを表す。
  プロトコル名。
  送信元のネットワークもしくはコンピュータの指定。
  あて先のネットワークもしくはコンピュータの指定。
  ここから下はユーザーが定義したり、ネットワークの形態(テンプレート)ごとに変更される部分。
  条件に1つもマッチしない場合は、デフォルトのこのルールが適用され、すべてのパケットがブロックされる。つまり、(ルーティングやフィルタで)許可されていないパケットはすべてブロックされるということ。

 サーバの公開に関しても、Webサーバやメール・サーバ(SMTPPOPIMAPサーバだけでなく、Outlook Web AccessやExchange RPC、NNTPなども含む)についてはあらかじめウィザードが用意され、公開するサーバの指定や、公開するネットワークの指定などが簡単に行えるようになっている(従来よりも直感的で分かりやすくなっている)。

 またサーバを公開するときに、ポート番号を変更して別のサーバへ要求を転送する機能(リッスンしているのとは異なるポート番号で公開する機能)や、Webサーバの公開において、アクセス元のIPアドレスを変換せずにそのまま転送する機能なども用意されている(これにより、Webサーバはアクセス元のIPアドレスを知ることができるようになる。詳細については次回解説予定)。

リアルタイム監視/ログ機能

 ISA Server 2004では、パケット・フィルタリングの結果などを含むログは、デフォルトですべてMSDEのデータベースに格納される(MSDEはISA Server 2004のインストール時に同時にインストールされる)。従来はすべてテキスト・ファイルに記録されていたため、ネットワークのトラフィックが多いと、記録されるログも膨大になるし、システムへの負荷も高くなっていた。またログ・ファイルの内容を確認するには、テキスト・ファイルをエディタで開いたり、テキスト検索ツールなどを利用したりするしかなかった。だがMSDEデータベースに変更されたことにより、高速・柔軟な検索が可能になり、ほかのシステムでの解析などが容易になっている。またISA Server 2004の管理ツールには、このログの内容をリアルタイムでフィルタリング/表示させる機能が用意されているので、監視業務が容易になっている。

 ただしMSDEでは、取り扱えるデータベースのサイズが最大2Gbytesまでに制限されているので、必要ならばSQL Serverの導入を検討する必要がある。

リアルタイムのログ監視
これはログ監視画面。MSDEに格納されているパケット・フィルタなどのログをクエリしてリアルタイムに表示させることができる。
  ログの検索条件。これを設定して右側の[クエリの開始]をクリックすると、下の方にマッチするログのエントリがリアルタイムで順次表示される。
  条件にマッチして表示されたログのエントリ。

■ダッシュボードによるリアルタイム監視
 ダッシュボードとは、現在のISA Server 2004の動作状態をリアルタイムに表示するための監視ウィンドウのことである。サービスの状態や直近で発生した警告メッセージ、セッションの状態、パケットの数(通過したパケットとブロックされたパケットの両方)などの情報が簡潔に表示されている。

リアルタイム・モニタ機能(ダッシュボード)
ISA Server 2004の動作状態をリアルタイムに監視するためのモニタ画面。
  現在稼働中のサービス。MSDEはログを記録するためにデフォルトでインストールされている。
  警告メッセージ。イベント・ログに記録されている。
  セッション(アクティブなクライアントの接続情報)の状態。
  フィルタ・ルールを通過したパケットの数。リアルタイムのグラフとして表示されている。
  ブロックされたパケットの数。

新しいアドイン・モジュール

 アドインとは、ISA Serverの機能を拡張するためのモジュールのことであり、例えばプロトコルごとのコンテンツ・フィルタリング(通信の内容のフィルタリング)などを行うために利用される。ISA Server 2004には標準でいくつかのアドインが用意されており、例えばFTPのアップロードを禁止したり(読み出しのみを許可する)、ある特定の拡張子を持つ実行ファイルのHTTP経由でのダウンロードを禁止したりすることができる。後者の機能は、例えば特定の名前を持つウイルス・ファイルのダウンロードをブロックするために利用できる。

VPNサポート

 ISA ServerはVPNサーバ機能を持っており、インターネット上のVPNクライアントからの接続を受け付けることができる。この機能は従来のISA Server 2000から存在したが、さらにISA Server 2004では、VPN接続クライアントに対して、「検疫」による接続制御を行えるように拡張されている(検疫を利用しないことも当然可能)。検疫とは、VPNで接続したクライアントが「ある条件を満たしたかどうか」をVPNサーバが判断し、条件を満たした場合にのみ、内部ネットワークへの接続を許可するという機能である。検疫を通っていないVPNクライアントは、VPNサーバ(ISA Server 2004)に接続はするものの、そこから先の内部ネットワークへはアクセスできない。これにより、(検疫によって)安全であると保証されたクライアントのみがネットワークを利用することができるので、外部からの不正な侵入やウイルスなどの汚染を防ぐことができる(可能性が高くなる)。

 実際の検疫は、スクリプトやバッチ・ファイルなどでウイルス・チェッカーを起動したり、システムの構成を調査したりするプログラムによって実現する。ISA Server 2004にはこのためのツールやSDKなどが用意されているので、あらかじめこれらを使って検疫のためのプログラムなどを用意する必要がある。End of Article


 INDEX
  [製品レビュー]ISA Server 2004
  第1回 ISA Server 2004の概要
    1.ISA Server 2004の新機能(1)
  2.ISA Server 2004の新機能(2)
 
 製品レビュー


Windows Server Insider フォーラム 新着記事
@ITメールマガジン 新着情報やスタッフのコラムがメールで届きます(無料)

注目のテーマ

Windows Server Insider 記事ランキング

本日 月間