製品レビュー
ISA Server 2004

第1回 ISA Server 2004の概要

1.ISA Server 2004の新機能(1)

デジタルアドバンテージ
2004/08/06

直感的で使いやすい新管理コンソール

Windows管理ツール入門:MMC

 ISA Server 2004では、同じMMCベースながら、分かりやすいユーザー・インターフェイスを採用した、新しい管理コンソールが提供されている。従来のものと比べると、目的に応じて、より直感的に操作できるようになっている。

ISA Server 2004の管理コンソール
MMCながら、GUI部品を多用した新しい管理コンソール。前バージョンと比較すると、機能が向上しただけでなく、管理画面も一新され直感的に使えるように改良された。左側におおまかなカテゴリ・ツリーが表示され、中央に対象となるメイン・ウィンドウ、右側にタスクやヘルプなどがまとめられている。
  カテゴリ・ツリー。従来のISA Server 2000ではここにすべての項目が表示されていたので煩雑であったが、ISA Server 2004では整理され、非常に分かりやすくなった。
  カテゴリごとのウィンドウ表示。タブ切り替えにより、多くの情報を分かりやすくまとめている。
  タスク(作業)やヘルプ。左側のツリー上の項目をいちいち右クリックしなくても、可能な作業はほとんど常にここに表示されているので、分かりやすくなっている。

 従来の管理コンソールは、左側にツリー表示ですべての設定項目が並んでいたが、新しい管理コンソールでは項目が整理されてスッキリとしている。また右側にタスクの一覧が表示されており、これをクリックするだけで必要なウィザードが起動したり、ダイアログが表示されたりする。以前と比べると、あまり戸惑うことなく、目的の作業を行うことができるようになっている。

DMZを含むマルチネットワークのサポート

 ISA Server 2004で重要な新機能の1つは、マルチネットワークのサポートである。従来のISA Server 2000でも、内部ネットワーク(イントラネット)と外部ネットワーク(インターネット)という区別はあったが、それ以上の区別はない。だが、より本格的なファイアウォール・アーキテクチャでは、これ以外にDMZ(DeMilitarized Zone、非武装地帯)と呼ばれる第3のネットワーク領域が利用されることが多い。

 DMZ上には公開サーバなどを置き、内部ネットワークからも外部ネットワークからも分離するのが一般的である。こうすることにより、インターネットからDMZ上のサーバへの直接アクセスを防ぎ(ファイアウォールを経由してから、適切なポリシーに従ってアクセスさせる)、外部からの攻撃に直接さらされないようにする。またイントラネットと公開サーバの間にもファイアウォールによるアクセス制御が行われるので、例えば公開サーバが攻撃され、乗っ取られたとしても、イントラネットへの直接の攻撃を防ぐことも可能である。

 ISA Server 2004では、明示的にこのDMZ用ネットワークを取り扱うように機能が拡張されている。ISA Server 2004をインストールしたシステムにネットワーク・カードを3枚装着し、それぞれを用途別に振り分けて利用することができる。

ISA Server 2004のマルチネットワーク・サポート
ISA Server 2004では、従来のISA Server 2000と比較すると、DMZネットワークを明示的に扱えるように機能が拡張されている。実際にDMZを利用する場合は、さまざまなネットワーク形態が考えられるが、この図では一番簡単な構成を示している。DMZにはグローバルIPアドレスを割り当てるだけでなく、プライベートIPアドレスを割り当ててアドレス変換(NAT)と併用することも可能になっているなど、非常に高機能である。またVPNクライアントも、認証を通るまでは内部ネットワークへの接続を拒否するなど、高度なアクセス制御を行うこともできる。

 ISA Server 2004では、「内部ネットワーク」「外部ネットワーク」「境界領域(DMZ)ネットワーク」「VPNクライアント群」および「ローカル・コンピュータ(ISA Server 2004自身)」を明示的に定義し、それぞれの間でパケットをどのように転送させるかを定義することによってセキュリティを確保する。例えばイントラネットからインターネット方向へのアクセスだけを許可することにより、内部ネットワークを保護することができる。また2つのネットワーク間でパケットをやりとりする場合、単純なルーティングにするのか、それともNATNAPT(IPマスカレード)を利用するのかも明示的に指定することができる。さらに、パケットの通過ポリシーなども個別に定義・制御することができる。これらの機能により、DMZネットワークをグローバルIPアドレスで構築するか、それともプライベートIPアドレスで構築するかなど、柔軟に対応することができる。

ネットワークの構成画面
右側にあるテンプレートからパターンを選択することにより、簡単にネットワークのおおまかな構成を決め、設定を行うことができる。
  現在のネットワーク構成。基本的には右側のテンプレートから選んだうちの1つがここに表示され、現在のネットワークの状態を表している。図中央の色の付いている[ローカル ホスト]がこのISA Server 2004コンピュータを表している。画面の下半分の[ネットワーク ルール]タブでは、2つのネットワーク間でどのようにパケットをやり取りするか(ルーティングするか)を表している。
  [ルート]は単純なIPルーティングを、[NAT]はアドレス変換を伴うIPルーティングをそれぞれ表している。
  ルーティングのソースとなるネットワーク(もしくはローカル・コンピュータ)。
  ルーティングのあて先となるネットワーク(もしくはローカル・コンピュータ)。
  ネットワークの構成。ここに示されているいずれかの形態で利用することが想定されている。これは3枚のネットワーク・インターフェイスを持つ場合の構成の例(ちなみにこれは[三脚境界]というすごい名前が付けられているが、英語では[3-Leg Perimeter]という)。このコンピュータからインターネット、イントラネット、DMZのそれぞれのネットワークへ直接接続している。DMZには、グローバルIPアドレスを割り当てることもできるし、ローカルIPアドレスを割り当ててNAT(アドレス変換)を利用することもできる。
 

 INDEX
  [製品レビュー]ISA Server 2004
  第1回 ISA Server 2004の概要
  1.ISA Server 2004の新機能(1)
    2.ISA Server 2004の新機能(2)
 
 製品レビュー


Windows Server Insider フォーラム 新着記事
@ITメールマガジン 新着情報やスタッフのコラムがメールで届きます(無料)

注目のテーマ

Windows Server Insider 記事ランキング

本日 月間
@IT