Cosminexus V9 アプリケーションサーバ 機能解説 セキュリティ管理機能編

[目次][用語][索引][前へ][次へ]

4.11.2 ファイアウォール侵入検知システムを配置する

ここでは,ファイアウォールと侵入検知システムを適切に配置,設定することでシステムのセキュリティを向上させる方法について説明します。

<この項の構成>
(1) ファイアウォールと侵入検知システムを配置する目的
(2) 基本的なWebクライアント構成の場合
(3) 基本的なEJBクライアント構成の場合
(4) サーバの層ごとにファイアウォールで区切る構成(アプリケーション集中型)
(5) サーバの層ごとにファイアウォールで区切る構成(アプリケーション分散型)

(1) ファイアウォールと侵入検知システムを配置する目的

ファイアウォールは,外部のネットワークと内部のネットワーク間のアクセスを制御します。あらかじめアクセスを許可するクライアントや通信を特定し,決められたルールに従って通信を許可したり破棄したりすることで,外部ネットワークからの不正なアクセスを防止します。このため,ファイアウォールを使用する場合は,通信を許可するポートやIPアドレスを明確にして,設定しておく必要があります。

侵入検知システムIDS)は,通信回線を監視して,通信パターンによって不正なアクセスを判断します。

ファイアウォールと侵入検知システムを適切な個所に配置,設定することで,次のようなセキュリティ上の脅威からシステムを守れます。

ここでは,次の表に示すシステム構成ごとのファイアウォールと侵入検知システムの配置個所,および設定するときに留意することについて説明します。

表4-7 ファイアウォールと侵入検知システムの配置を検討するためのシステム構成の分類

システム構成 説明
基本的なWebクライアント構成 1台のアプリケーションサーバで構成されるシステム構成です。クライアントはWebブラウザです。
基本的なEJBクライアント構成 1台のアプリケーションサーバで構成されるシステム構成です。クライアントはEJBクライアントアプリケーションです。
サーバの層ごとにファイアウォールで区切る構成(アプリケーション集中型) 複数のアプリケーションサーバで構成されるシステム構成で,サーバの層ごとにファイアウォールで区切る構成です。アプリケーションはすべて同じ層のアプリケーションサーバ上で動作します。
サーバの層ごとにファイアウォールで区切る構成(アプリケーション分散型) 複数のアプリケーションサーバで構成されるシステム構成で,サーバの層ごとにファイアウォールで区切る構成です。アプリケーションは異なる複数の層のアプリケーションサーバ上で動作します。

なお,インターネットと接続するシステムの場合は,外部ネットワークから直接内部ネットワークのアプリケーションサーバにアクセスされないように,DMZを確保して,リバースプロキシを使用した構成を検討することをお勧めします。

(2) 基本的なWebクライアント構成の場合

ここでは,1台のアプリケーションサーバで構成される基本的なWebクライアント構成の場合のファイアウォールと侵入検知システムの配置個所について説明します。

ファイアウォールは,ネットワークから見てアプリケーションサーバの手前に配置します。この構成の場合,ネットワーク上のWebクライアントは,ファイアウォール経由でだけアプリケーションサーバにアクセスできます。

基本的なWebクライアント構成の場合のファイアウォールと侵入検知システムの配置例を次の図に示します。

図4-4 基本的なWebクライアント構成でのファイアウォールと侵入検知システムの配置例

[図データ]

(a) アプリケーションサーバの設定

アプリケーションサーバでは,次の項目を設定します。

(b) ファイアウォールの設定

外部ネットワークとアプリケーションサーバ内のWebサーバ(HTTP Server)のアクセスについて制御するために,次の項目を設定します。

(c) 侵入検知システムの設定

外部ネットワークとアプリケーションサーバ内のWebサーバ(HTTP Server)の公開ポートの通信内容を監視するために,次の項目を設定します。

(3) 基本的なEJBクライアント構成の場合

ここでは,1台のアプリケーションサーバで構成される基本的なEJBクライアント構成の場合のファイアウォールと侵入検知システムの配置個所について説明します。

ファイアウォールは,ネットワークから見てアプリケーションサーバの手前に配置します。この構成の場合,ネットワーク上のEJBクライアントは,ファイアウォール経由でだけアプリケーションサーバにアクセスできます。

基本的なEJBクライアント構成の場合のファイアウォールと侵入検知システムの配置例を次の図に示します。

図4-5 基本的なEJBクライアント構成でのファイアウォールと侵入検知システムの配置

[図データ]

(a) アプリケーションサーバの設定

アプリケーションサーバでは,次の項目を設定します。

(b) ファイアウォールの設定

外部ネットワークとアプリケーションサーバ間のアクセスについて制御するために,次の項目を設定します。

(c) 侵入検知システムの設定

外部ネットワークとアプリケーションサーバの公開ポートの通信内容を監視するために,次の項目を設定します。

(4) サーバの層ごとにファイアウォールで区切る構成(アプリケーション集中型)

システムの規模によっては,一つのシステムが複数のアプリケーションサーバおよびそのほかのサーバで構成されることがあります。このような構成では,それぞれの層でセキュリティを確保する必要があります。

ここでは,Webサーバ,アプリケーションサーバおよびデータベースサーバを多層化した場合に,アプリケーションはすべて同じ層のアプリケーションサーバで動作させる構成について説明します。この構成を,アプリケーション集中型の構成といいます。

アプリケーション集中型の構成の場合のファイアウォールと侵入検知システムの配置例を次の図に示します。この構成では,サーバの層ごとに1台ずつ,合計3台のファイアウォールを配置しています。また,DMZには,リバースプロキシモジュールを組み込んだWebサーバ(リバースプロキシサーバ)を配置しています。

図4-6 アプリケーション集中型のファイアウォールと侵入検知システムの配置

[図データ]

また,コストなどの要因からファイアウォール数を削減したい場合は,次の図に示すような構成にできます。この例では,ファイアウォール1とファイアウォール2で実行するアクセス制御をファイアウォール1に集約して,ファイアウォール2を削減します。

図4-7 ファイアウォールを削減した構成

[図データ]

この構成の場合は,ファイアウォール2で設定する内容を,ファイアウォール1にまとめて設定してください。

(a) アプリケーションサーバの設定

アプリケーションサーバでは,次の項目を設定します。

(b) ファイアウォールの設定

この構成では,次に示す三つのファイアウォールを使用しています。

それぞれのファイアウォールに設定する内容について説明します。

●ファイアウォール1の設定

外部のネットワークとDMZのWebサーバ(リバースプロキシサーバ)間のアクセスを制御するためのファイアウォールです。次の項目を設定します。

●ファイアウォール2の設定

Webサーバとアプリケーションサーバ間のアクセスを制御するためのファイアウォールです。次の項目を設定します。

このほかの通信の設定は,システム構成によって,必要に応じて許可してください。DNSなどの通信の許可が必要な場合があります。

参考
リダイレクタモジュールをDMZのWebサーバに組み込んだ場合など,WebサーバとJ2EEサーバが動作するアプリケーションサーバの間にファイアウォールを配置した場合には,次の設定が必要です。
  • Webサーバからアプリケーションサーバに対してのアクセス許可
    J2EEサーバのWebサーバ通信用ポート(リダイレクタからのリクエスト受付ポート。デフォルトのポート番号:8007)への通信の許可を設定します。
●ファイアウォール3の設定

アプリケーションサーバとデータベース間のアクセスを制御するためのファイアウォールです。このファイアウォールが,システムで最も重要な情報を守るための最終防衛ラインになります。

次の項目を設定します。

このほかの通信の設定は,システム構成によって,必要に応じて許可してください。DNSなどの通信の許可が必要な場合があります。

(c) 侵入検知システムの設定

外部ネットワークとアプリケーションサーバ内のWebサーバの公開ポートの通信内容を監視するために,次の項目を設定します。

(5) サーバの層ごとにファイアウォールで区切る構成(アプリケーション分散型)

ここでは,Webサーバ,アプリケーションサーバおよびデータベースサーバを多層化した場合に,アプリケーションを複数の層のアプリケーションサーバで動作させるときの構成について説明します。この構成を,アプリケーション分散型の構成といいます。

アプリケーション分散型の構成の場合のファイアウォールと侵入検知システムの配置例を次の図に示します。この例では,Webサーバに該当するマシンがアプリケーションサーバを兼ねているため,WebアプリケーションがWebサーバと同じ層で動作します。また,Enterprise Beanは,Webサーバとは別のマシン上に構築されたアプリケーションサーバ上で動作します。

なお,運用管理は,各ホストに配置したManagement Serverによって実行します。このため,管理ホストは層ごとに配置しています。

この構成では,DMZのフロントに1台,およびサーバの層ごとに1台ずつ,合計4台のファイアウォールを配置しています。また,DMZには,リバースプロキシモジュールを組み込んだWebサーバ(リバースプロキシサーバ)を配置しています。

図4-8 アプリケーション分散型のファイアウォールと侵入検知システムの配置

[図データ]

(a) Web/アプリケーションサーバでの設定

Webサーバを兼ねたアプリケーションサーバマシン(Web/アプリケーションサーバ)では,次の項目を設定します。なお,このアプリケーションサーバマシンでは,Webアプリケーションが動作します。

(b) アプリケーションサーバの設定

Enterprise Beanが動作するアプリケーションサーバでは,次の項目を設定します。

(c) ファイアウォールの設定

この構成では,次の4台のファイアウォールを使用しています。

それぞれのファイアウォールに設定する内容について説明します。

●ファイアウォール1の設定

外部のネットワークとDMZのWebサーバ(リバースプロキシサーバ)間のアクセスを制御するためのファイアウォールです。次の項目を設定します。

●ファイアウォール2の設定

外部のネットワークと内部のネットワーク上のWeb/アプリケーションサーバ間のアクセスを制御するためのファイアウォールです。次の項目を設定します。

●ファイアウォール3の設定

Web/アプリケーションサーバとアプリケーションサーバ間のアクセスを制御するためのファイアウォールです。次の項目を設定します。

●ファイアウォール4の設定

アプリケーションサーバとデータベース間のアクセスを制御するためのファイアウォールです。このファイアウォールが,システムで最も重要な情報を守るための最終防衛ラインになります。

次の項目を設定します。

(d) 侵入検知システムの設定

外部ネットワークとアプリケーションサーバ内にあるWebサーバの公開ポートの通信内容を監視するために,次の項目を設定します。