運用 Windows 2000 LAN防衛術
ISA Serverのインストールとセットアップ(第1回)

1.ISAサーバの機能とシステム要件

デジタルアドバンテージ
2001/07/24


 ISA Serverの主な機能は、WebのProxyキャッシュとファイアウォール機能であるが、それ以外にも、ポリシーに基づいたアクセス制御やWindows 2000のActive Directory機能と統合されたユーザー/ポリシー管理、VPNサポートなど、さまざまな機能を持っている。以下にそれを簡単にまとめておく。

機能 項目 説明
キャッシュ Web Proxy WWWFTPプロトコルによる通信データをキャッシュすることにより、インターネット・アクセスのための帯域を有効に使用する機能
アクティブ・キャッシュ 使用頻度の高いデータを(スケジュールに基づいて)あらかじめキャッシングしておき、レスポンスを向上させる機能
分散、アレイ構成 ISAサーバを複数組み合わせて負荷分散を図ったり、階層化して、エンタープライズ向けの階層キャッシュ・サーバを構築したりする(Enterprise Editionのみ)
ファイアウォール マルチレベル・フィルタリング パケット・レベル、サーキット・レベル、アプリケーション・レベルの各階層に応じたフィルタリング機能
アプリケーション/Webフィルタ HTTPやFTP、SMTP、H.323などの通信内容に基づくコンテンツ・フィルタリング機能や、透過的なWeb Proxy機能(クライアント側でのProxyの設定が不要)
サーバ公開 インターネットへ向けて、内部ネットワーク上のホスト/サービスを公開する機能
透過的なファイアウォール機能 ISAクライアントの設定が不要なSecureNAT機能(さらにISA Server向けの専用クライアントを使うと、より高度な機能が利用できる)
動的パケット・フィルタリング プロトコルのコンテキストに応じてフィルタリングを行う機能
侵入検出 ポート・スキャンやPing Of Death、Landアタック、WinNukeなどのシステムへの侵入行動を検出し、ブロックする機能
VPNサポート Windows 2000の持つVPN機能をISA Serverに統合し、安全な仮想回線を提供する機能
統一された管理方式 ポリシー・ベースのアクセス制御 トラフィックを、ユーザーやグループ、アプリケーション、宛先、コンテンツ・タイプ、スケジュールなどに基づいて制御する機能
Active Directoryとの統合 Active Directory内に格納されたアクセス制御や規則、構成などに基づいて、集中的な管理を可能にする機能(Enterprise Editionのみ)
ログ、レポート機能 Web Proxyやファイアウォールの動作ログを標準的なW3C形式などで記録する機能。トラフィックや使用ログなどのレポートもWebブラウザで簡単に確認できる
ISA Serverの主要な機能
ISA Serverが提供する主要な機能をまとめてみた。Enterprise Editionでは、複数台のISA Serverを組み合わせて運用できるが、Standard Editionではスタンドアロン構成のみが利用可能。

 ISA Serverには、Enterprise EditionとStandard Editionという2つのバージョンがある。Enterprise Editionでは、Standard Editionが持つすべての機能が利用できるほか、複数台のISA Serverを組み合わせた分散/階層キャッシュ構成が取れるほか、Active Directoryを使った統合管理、4CPU以上の大規模なシステムのサポート(Standard Editionでは4CPUのマルチプロセッサシステムまでのサポート)などの違いがある。

ISA Serverのシステム要件

 以下にISA Serverをインストールするシステムに要求される、最低限の仕様を示しておく。ただし実際には、ネットワークのトラフィックやWeb Proxyのクライアント数などによって、より高性能なCPUや大容量のディスク領域が必要となる。例えばWeb Proxyのクライアント数が500ユーザー程度なら、キャッシュ容量としては2〜4Gbytes程度、1000ユーザー程度なら10Gbytes以上(CPUはPentium IIIの500MHz以上)、それ以上ならばEnterprise Editionを2台以上使ったアレイ構成が推奨される構成である。

 また、Webサーバをインターネットに向けて公開する(「リバース キャッシュ」という)場合も、システムに大きな負荷がかかるので、やはり高性能なシステムが要求される。ガイドラインとしては、アクセスが100ヒット/秒以下ならば300MHzのPentium IIシステム、250ヒット/秒以下ならば450MHzのPentium IIIシステム、それ以上ならばより高性能なシステムを(複数台)利用するのが望ましいとされている。

項目 ISA Server Enterprise Edition ISA Server Standard Edition
OS
Windows 2000 Server/Advanced Server/Datacenter Server(+最新Service Pack)
CPU 300MHz上のPentium II(互換)プロセッサ。4CPU以上のマルチプロセッサ可 300MHz以上のPentium II(互換)プロセッサ。4CPUまでサポート
メモリ
256Mbytes以上
ディスク
500Mbytes以上の空きがあるNTFSパーティション
ネットワーク
ローカルネットワークへの接続用インターフェイスが1つ必要。上位ISAサーバやインターネットへ接続する場合は、そのためのISDNかモデム、もしくはネットワーク・インターフェイスがさらに1つ必要
ISA Server 2000のためのシステム要求仕様
これはISA Serverが動作するための最低限の要求仕様である。実際には、使用するクライアント数や、予測されるトラフィック(特にWebを公開する場合はそのユーザー数など)に応じて、さらに高性能なシステムを用意する必要がある。ディスク領域は、WebやFTPのキャッシュ、アクセス・ログの記録などにも利用するため、最初から数Gbytesの余裕をみておく必要がある。

ISA Serverを使ったProxy/ファイアウォールの構成 

 ISA Serverの最も基本的な使い方は、インターネット(外部ネットワーク)とイントラネット(内部ネットワーク)の境界にISA Serverを配置して、ファイアウォールとNAT、Webのキャッシュ機能などを利用することである。図にすると、次のような形になるだろう。

ISA Serverを使ったWeb Proxy/ファイアウォール・サービス
ISA Serverの最も基本的な使い方は、このように内部ネットワークと外部ネットワークの境界に配置する方法である。ISA Serverでは、透過的なProxy/ファイアウォール・モードを備えているので、クライアント側のWebブラウザで明示的にProxy設定などを行わなくても、Webコンテンツのキャッシング機能を利用することができる。

 この構成では、内部ネットワーク上のマシンからのトラフィックはすべてISA Serverを経由することになる。内部ネットワークからみると、ISA Serverはちょうどルータのように見えるし、実際そのように動作する。ISA ServerにはNAT(IPマスカレード)機能が組み込まれており、ここを通過するパケットはすべてグローバルIPアドレスを持つように変更されてからインターネット側へ送り出される。このようなアドレス変換機能は、最近のダイヤルアップISDNルータや、ブロードバンド・ルータが備えているものと機能的には同じであるが、より高機能になっていることや、高性能なマシンを使ってより多くのトラフィック(クライアント)をサポートできる点が異なる。もちろん、Active Directoryと統合されているとか、より細かく詳細なログを取ることができるなどのメリットも大きい。

 またWeb Proxy機能も統合されているので、ISA Serverマシンをインターネットとの境界に導入しておけば、これだけでインターネット・アクセスやサーバ公開のためのインフラをカバーすることができる。特にISA Serverでは“SecureNAT”という、透過型のファイアウォール/Web Proxyサービスを備えているので、クライアント側の設定をしなくても利用することができる。SecureNATは、ISA Serverでルーティングするとき(内部ネットワークから外部ネットワークへ向けて、アドレス変換を施しながらパケットをフォワードするとき)に、そのトラフィックがHTTPプロトコルならば(宛先ポートアドレスがTCPの80番)、自動的にWeb Proxy機能を適用するというものである。これにより、ユーザーがWebブラウザにおいてProxyサーバの設定を行っていなくても、ISA Serverを通過するトラフィックが自動的にキャッシュされ、再利用されるようになる。

 インターネットに向けてサーバを公開する場合は、この図のように外部ネットワーク上に配置する方法と、内部ネットワーク上に置いて、外部からアクセスできるようにポートのフォワード設定を行う方法の2通りがある。外部ネットワーク上に直接配置する方法では、公開するマシンには外部のグローバルIPアドレスを付ければよいが、その場合は、ISA Serverによるファイアウォール機能は利用できない。そのためセキュリティを確保するには、図中のインターネット・ルータ部分でパケット・フィルタリングを行うか、各公開サーバごとにパケット・フィルタの設定などを行う必要がある。

 公開するサーバを内部ネットワーク上に置く場合は、公開するためのマシンにはプライベートIPアドレスを付けておき、ISA Server上でサーバ公開のための設定(ポート・フォワーディング)を行う。こちらの方は、ISA Serverによるセキュリティ機能が利用できるので、より安全であるというメリットがある。


 INDEX
  [運用]Windows 2000 LAN防衛術
  第1回 ISA Serverのインストールとセットアップ
  1.ISAサーバの機能とシステム要件
    2.ISAサーバのインストール(1)
    3.ISAサーバのインストール(2)
    4.ISAサーバのインストール(3)
 
 運用


Windows Server Insider フォーラム 新着記事
@ITメールマガジン 新着情報やスタッフのコラムがメールで届きます(無料)

注目のテーマ

Windows Server Insider 記事ランキング

本日 月間