12.3.1 IEEE802.1X認証サーバと連携した検疫システムの構成
IEEE802.1X認証サーバと連携した検疫システムの基本構成,ネットワークの構成,および認証サーバを複数台構築する場合のシステム構成について説明します。
- <この項の構成>
- (1) IEEE802.1X認証サーバと連携した検疫システムの基本構成
- (2) IEEE802.1Xと連携した検疫システムのネットワーク構成
- (3) 認証サーバを複数台構築する場合のシステム構成
(1) IEEE802.1X認証サーバと連携した検疫システムの基本構成
IEEE802.1X認証サーバと連携した検疫システムの基本構成を次に示します。
図12-7 IEEE802.1X認証サーバと連携した検疫システムの基本構成
![[図データ]](figure/zu122000.gif)
- 管理端末
- 管理者が資産管理データベースを参照してクライアントの資産情報を管理したり,クライアントのセキュリティ対策状況の監視やアクションを実施したりする端末です。AIMの画面を使用します。
- 管理サーバ
- 資産管理データベースでクライアントのインベントリ情報を管理し,セキュリティポリシーに基づいてクライアントの危険レベルを判定します。また,危険レベルに応じたアクションを指示します。
- 加えて,セキュリティ対策のための修正パッチなどをパッケージングします。
- 認証サーバ
- IEEE802.1X認証方式で,クライアントのユーザ認証をします。
- また,管理サーバからのアクション(ネットワーク接続の拒否・許可)やリモート管理サーバからのネットワーク制御コマンド(cscnetctrl)の指示に従って接続制御リストを更新し,接続制御リストに基づいたクライアントの接続先の切り替えをIEEE802.1X対応スイッチに指示します。
- リモート管理サーバ
- ウィルス対策製品の判定ポリシーを自動更新する場合や,他システムからクライアントのネットワーク接続を制御する場合に構築するシステム構成です。
- リモート管理サーバには,JP1/NETM/CSC - Manager Remote Optionをインストールします。
- 治療サーバ
- クライアントのセキュリティ対策を実施するため,検疫ネットワークに接続されたクライアントと通信します。
- Microsoft Software Update Servicesやウィルス対策製品をインストールしておくと,これらの製品を使用したセキュリティ対策を実施することもできます。
- なお,Microsoft Software Update Servicesやウィルス対策製品をインストールしたサーバを別に構築することもできます。
- クライアント
- 検疫システムでの管理対象です。クライアントからインベントリ情報が管理サーバに通知され,このインベントリ情報に対して,管理サーバでセキュリティポリシーに基づいて,危険レベルが判定されます。
- なお,IEEE802.1X認証をするため,それに対応したWindows標準のサプリカントを必要とします。
- IEEE802.1X対応スイッチ
- IEEE802.1X対応スイッチは,認証サーバからのネットワークの接続制御の指示を受け,クライアントのネットワークの接続先を切り替えます。社内ネットワーク,検疫ネットワークなどをVLANで管理します。
(2) IEEE802.1Xと連携した検疫システムのネットワーク構成
IEEE802.1X認証サーバと連携した検疫システムでは,IEEE802.1X対応のスイッチのVLANを使用して社内ネットワーク,検疫ネットワークなどを設定します。
ネットワーク構成の例を次に示します。
図12-8 ネットワーク構成の例
![[図データ]](figure/zu122100.gif)
クライアントのセキュリティ対策用の検疫ネットワーク,治療サーバのあるネットワーク,社内ネットワークをVLANで区切ります。検疫ネットワークの通信は,治療サーバのあるネットワークとだけ許可するよう設定します。
なお,推奨のネットワーク構成およびネットワーク間の通信などの詳細については,「13.2.3 ネットワーク制御機器(IEEE802.1X対応スイッチ)を設定する」を参照してください。
(3) 認証サーバを複数台構築する場合のシステム構成
IEEE802.1X認証サーバと連携した検疫システムで,管理対象のクライアント数が多い場合,認証サーバを複数台構築して認証処理の負荷を分散できます。
認証サーバを複数台構築する場合のシステム構成を次に示します。
図12-9 認証サーバを複数台構築する場合のシステム構成
![[図データ]](figure/zu122200.gif)