運用 Windows 2000 LAN防衛術ISA ServerのWeb Proxy機能(第3回)3.特定サイトへアクセスの許可/禁止 デジタルアドバンテージ |
 |
|
ISA ServerのWeb Proxy機能は、アプリケーション層レベルでHTTPアクセスを制御する、いわゆる「アプリケーション・ゲートウェイ」機能によって実現されている。そのためURLの内容を解釈してオブジェクトをキャッシュすることができるが、このほかにも、例えばURLの内容に応じてそれを書き換え、特定サイトへのアクセスを禁止したり、別のURLに振り替えたりという機能も持っている。ここではその機能を使って、ある特定サイトへの閲覧を禁止するという例を紹介しよう。
■宛先セットの定義
特定のWebサイトへのアクセスを禁止したり、別のURLに振り替えたりするには、まず「宛先セット」を定義する。「宛先セット」とは、ある特定のサイトやIPアドレス、IPアドレスの集合などを総称するための、ISA Serverにおける呼び方である。宛先セットは、パケット・フィルタやプロトコル・ルール、セキュリティ設定などで対象とする宛先を指定するために使ったり、Web関連のフィルタなどで、制限をかける宛先サイトを表すためなどに使われる。ここでは、例として「3ch.net」という仮想的なWebサイトを想定し、このサイトへのアクセスをすべて禁止するようなルールを作成してみることにする。
 |
||||||
| 宛先セットの新規作成 | ||||||
| 特定のWebサイトへのアクセスなどを禁止するには、まず「宛先セット」を作成する必要がある。「宛先セット」は、ISA Serverのさまざまルールで使われる、ある特定のURLや特定のIPアドレスの集まりである。ここではまず「3ch.net(ここで想定している仮想的なWebサイト)」というドメイン名を表す宛先セットを作成する。 | ||||||
|
宛先セットの新規作成を選ぶと、新しい宛先セットを作成するダイアログが表示されるので、名前と宛先のドメイン名を入力する。
 |
||||||||||||
| 宛先セットの作成ダイアログ(1) | ||||||||||||
| ここでは宛先セットの名前と「宛先」となるドメインやIPアドレスの範囲を入力する。 | ||||||||||||
|
1つの宛先セットには、複数のドメイン名やIPアドレス(の範囲)を含ませることができる。そのため、同じルールを適用したいサイトやIPアドレスが複数存在しても、それらに対して1つだけ宛先セットを作ればよく、管理が容易になる。
 |
||||||||||||
| 宛先セットの作成ダイアログ(2) | ||||||||||||
| 宛先としては、ドメイン名(FQDN名)かIPアドレス、IPアドレスの範囲のいずれかを指定することができる。さらにサブディレクトリを指定して、特定のディレクトリ下だけを表すこともできる。 | ||||||||||||
|
宛先セットができれば、次はそれを使ってその宛先へのアクセスを禁止するルールを作成する。ISA Serverの管理ツールでは、[IPパケットフィルタ](IPアドレスやポート番号によるパケット・フィルタ)、[プロトコル ルール](パケット・フィルタの組み合わせ)、[サイトとコンテンツ ルール]という3種類のアクセス制限ルールが用意されているが、特定のサイトへのWebアクセス制限は、[サイトとコンテンツ ルール]で設定することができる。
 |
||||||
| 特定サイトへのアクセスを禁止するルールの作成 | ||||||
| 特定サイトへのアクセスを禁止するルールは、[アクセス ポリシー]の[サイトとコンテンツ ルール]で定義する。 | ||||||
|
ルールの新規作成を選ぶと、[新しいサイトとコンテンツ ルール ウィザード]が起動する。
 |
|||
| サイトとコンテンツ ルール ウィザード | |||
| このウィザードで新しいアクセス制限のためのルールを作成する。ここではまずルール名を指定する。 | |||
|
次はクライアントからのアクセス要求をどうするかを指定する。デフォルトの[許可]を選択すると、クライアントからの要求はすべてそのまま通過する。しかし[拒否]を選択するとアクセスは拒否されるようになり、そのサイトへのアクセスをすべて禁止することができる。ただし単にエラーにしてしまうだけだとクライアントには何が起こったかわからないであろうから、別のURLへリダイレクトさせて、何らかのメッセージを表示させることもできる。
 |
||||||||||||
| ルールの動作 | ||||||||||||
| このルールが適用された場合の、クライアントの動作を定義する。クライアントからのアクセスを拒否するには[拒否]を選択する。 | ||||||||||||
|
次は[拒否]の要因を設定する。今回は宛先によってクライアントからのアクセスを拒否するので、特定の宛先セットを指定する。
 |
||||||||||||
| ルールの構成 | ||||||||||||
| ルールに適用する宛先や、時間帯などを指定する。 | ||||||||||||
|
[宛先によってアクセスを拒否する]を選択すると、次はその宛先を指定する必要がある。
 |
||||||
| 宛先セットの指定 | ||||||
| ここではルールを適用する宛先をする。宛先セットは、先ほど[宛先セット]で作成したセットから選択する。 | ||||||
|
以上でアクセス拒否のためのルールの作成は完了である。
 |
||||||
| ウィザードの完了 | ||||||
| これで特定の宛先に対するアクセスを拒否するルールの作成が完了である。[完了]ボタンをクリックすると実際にルールが作成される。 | ||||||
|
このようにしてルールを作成した後、クライアント・マシン上のWebブラウザで「http://www.3ch.net/」をアクセスしようとすると、次のような画面が表示される。これは、先のルール中でリダイレクト先として指定したサーバ上のWebページである。このように希望したWebサイトへのアクセスは拒否され、代わりにリダイレクト先のページが表示されている。なお、ISA ServerのProxy機能は、透過Proxyとしても働くため(前回の記事参照)、クライアント側でProxy設定をしていなくても、必ずこのようにアクセスが拒否されることになる。Proxyサーバをバイパスして、目的のWebサイトをアクセスすることはできない。
 |
||||||
| アクセスが拒否されたWebアクセス | ||||||
| www.3ch.netへアクセスしようとしても、アクセスが拒否され、このようなリダイレクト先のWebページが表示される。 | ||||||
|
 |
| INDEX | ||
| [運用]Windows 2000 LAN防衛術 | ||
| 第3回 ISA ServerのWeb Proxy機能 | ||
| 1.アクティブ・キャッシング | ||
| 2.自動的なコンテンツのダウンロード | ||
 |
3.特定サイトへアクセスの許可/禁止 | |
 |
||
 |
運用 |
- Azure Web Appsの中を「コンソール」や「シェル」でのぞいてみる (2017/7/27)
AzureのWeb Appsはどのような仕組みで動いているのか、オンプレミスのWindows OSと何が違うのか、などをちょっと探訪してみよう - Azure Storage ExplorerでStorageを手軽に操作する (2017/7/24)
エクスプローラのような感覚でAzure Storageにアクセスできる無償ツール「Azure Storage Explorer」。いざというときに使えるよう、事前にセットアップしておこう - Win 10でキーボード配列が誤認識された場合の対処 (2017/7/21)
キーボード配列が異なる言語に誤認識された場合の対処方法を紹介。英語キーボードが日本語配列として認識された場合などは、正しいキー配列に設定し直そう - Azure Web AppsでWordPressをインストールしてみる (2017/7/20)
これまでのIaaSに続き、Azureの大きな特徴といえるPaaSサービス、Azure App Serviceを試してみた! まずはWordPressをインストールしてみる
 |
|
|
|
|
注目のテーマ
Windows Server Insider 記事ランキング
転職/派遣情報を探す
