ファイアウォールと ArcGIS Server

ファイアウォールの機能

各コンピュータには、他のコンピュータが情報を送信するために使用する数千ものポートがあります。ファイアウォールは、他のコンピュータが通信に使用できるコンピュータ上のポートの数を制限するセキュリティ メカニズムです。ファイアウォールを使用して通信を少数のポートに制限すると、それらのポートを厳重に監視して攻撃を阻止できるようになります。また、通信を既知のポートにのみ制限するようにファイアウォールを構成することもできます。

ファイアウォールは、ハードウェア、ソフトウェア、またはその両方を通じて実装することができます。ファイアウォールは、ワームやトロイの木馬といったオープン ポートを通じてシステムへの進入をもくろむ攻撃を阻止するのに威力を発揮します。電子メールに添付されたウイルスやネットワーク内部の脅威からシステムを保護するものではありません。したがって、ファイアウォールは重要ですが、セキュリティ全般をつかさどる唯一のコンポーネントではありません。アンチウイルス ソフトウェアと強固な認証/認可手法は、ファイアウォールと合わせて導入すべきセキュリティ手法の一例です。

ファイアウォールによる GIS サーバの保護

ArcGIS Server コンポーネント間でのファイアウォールの設置は推奨もサポートもされません。これには、Web ADF と GIS サーバ間のファイアウォールと、SOM(Server Object Manager)と SOC(Server Object Container)間のファイアウォールが含まれます。ArcGIS Server システムをファイアウォールで保護するために推奨される手法は、境界ネットワークにリバース プロキシ Web サーバを構成することです。これは、DMZ(DeMilitarized Zone)またはスクリーン サブネットと呼ばれる手法です。このシナリオでは、トラフィックを既知のポート(通常はポート 80)に制限するファイアウォール経由で、リバース プロキシ Web サーバが HTTP リクエストを受信します。そして、リクエストはエンド ユーザに公開されないポートを使用する別のファイアウォールを経由して、セキュリティで保護された内部ネットワーク上の ADF Web サーバに送信されます。ADF Web サーバは、他の ArcGIS Server コンポーネントとの間で無制限の DCOM(Distributed Component Object Model)通信を確立することができます。このようにして、GIS サーバ全体をセキュリティで保護された内部ネットワーク上で動作させ、コンポーネント間のファイアウォールを不要とします。

次に、このシナリオの各コンポーネントを詳しく見ていきます。

ArcGIS Server for Microsoft .NET Framework とリバース プロキシ Web サーバを構成する手順については、「Esri Knowledge Base 32634」をご参照ください。


3/6/2012