インターネットアプリケーション時代の企業ネットワーク再設計
>
いまさら聞けない!?ネットワーク機器再入門
- インターネット用のWebサーバー
- インターネットから直接アクセスされるWebサーバーは,インターネットセグメントに配置する。ファイアウォール上にDMZ(De-Militarized Zone:インターネットのような外部ネットワークとも,組織内のLANのような内部ネットワークとも異なるセキュリティポリシーで運用される緩衝用セグメント)を構築している場合には,必ずDMZに接続する。
- イントラネット用のWebサーバー
- イントラネット用のWebサーバーは,その役割で配置するIPセグメントが異なってくる。社内遠隔拠点を含む多数の部署から参照されるWebサーバーであれば,WANセグメントに配置する。特定の部署からのみ参照されるWebサーバーであれば,その部署が属する利用者セグメントに配置し,Webサーバーに対するアクセスをその利用者セグメント内で完結させる。
- ファイルサーバー
- 一般的にファイル共有を実現する場合に考えられるのは,(1)個人用ファイル共有,(2)各部署用ファイル共有,(3)複数部署用ファイル共有,の3種類である。社内遠隔拠点からファイルサーバーを利用させると,レスポンスが悪く,利用者の利便性を損なうため,全社共用のファイルサーバーは原則的に設置しない(もちろん,社内遠隔地が存在しない組織であれば,全社共用ファイル共有を設置してもかまわない)。
すでに述べたとおり,業務系システムに比べ,非業務系の通信トラフィックは大きくなるため,ファイルサーバーに対するアクセスの影響を必要最小限の範囲に封じ込める必要がある。このため,個人用ファイル共有サーバーと各部署用ファイル共有サーバーは利用者セグメントに配置し,複数部署用ファイル共有サーバーはサーバーセグメントに設置する。
- プリンタサーバー
- プリンタに送信されるデータは,非常に大きくなる。ワープロや表計算に代表される一般的な印刷であったとしても,A4判1ページ分で数メガバイト単位のデータ量となってしまうこともある。このため,関連するクライアントPC,プリンタサーバー,ネットワークプリンタを同一セグメントに配置し,プリンタサーバーに関連する通信をIPセグメント内に封じ込める必要がある。
また,すでに述べたとおり,ネットワークプリンタとプリンタサーバーは,同一のL2-HUBに接続することが望ましい。しかし,このような環境を実現しようとすると多数のプリンタサーバーが必要となる。このため,プリンタサーバーは,利用者の使用するクライアントPC(Windows 2000 ProfessionalやWindows NT Workstation)に兼務させることを検討すべきだろう。
- 電子メールサーバー
- 電子メールまたはグループウェアのシステムで管理されているデータは,個人メールボックスと掲示板などの共有データである。
電子メールサーバーに対するアクセスを必要最小限の範囲に封じ込めるために,個人メールボックスを管理する電子メールサーバーを利用者セグメントに配置し,その利用者セグメントのメールボックスを管理させる。掲示板などの共有データは,利用者セグメントに配置された電子メールサーバーにレプリケーションして保有させる。
また,MTA(Message Transfer Agent:メール交換機能)として機能するサーバーは,別のポリシーで配置する。具体的には,インターネット上のほかのメールサーバーとメールデータを交換するサーバーはインターネットセグメントに,社内遠隔拠点とメールデータを交換するサーバーはWANセグメントに配置し,発生する通信トラフィックを各IPセグメント内に封じ込める。
- データベースサーバー
- すでに述べたとおり,非業務系システムに比べると,業務系システムのトラフィックは小さくなる傾向にある。また,データベースはデータの一元化を目的として設置されるため,この点から考えても管理するデータを分散させるべきではない。以上の観点から,データベースサーバーはサーバーセグメントに配置することが望ましい。ただし,インターネットから頻繁にアクセスされるデータベースサーバーはインターネットセグメントに接続し,支店や営業所などの企業内遠隔地から頻繁にアクセスされるデータベースサーバーはWANセグメントに接続するべきであろう。
なお,SFA(Sales Force Automation:営業支援システム)など,特定の部署しか使用しないシステムに付随するデータベースサーバーは利用者セグメントに配置し,関連する通信をそのIPセグメント内に封じ込める。
 |
7/20 |  |
