インターネットアプリケーション時代の企業ネットワーク再設計
>
いまさら聞けない!?ネットワーク機器再入門
|
|
携帯電話やPHS(以下,総称して「携帯電話」とする)の爆発的な普及に伴って,携帯電話によるインターネット接続が急増している。執筆時点において,モバイルコンピューティングの主軸は,PCから携帯電話に移ったといってよいだろう。
モバイルコンピューティングに対する要望で最も多いのが,「電子メールを確認したい」というものである。携帯電話から電子メールを確認するソリューションとして最も一般的なものは,Webベース型アプリケーションとして実装するものであろう。もちろん,単純に電子メールを携帯電話に転送してもよいのだが,携帯電話の記憶容量などに起因する制限のため,一般的とはいえない。Webベース型アプリケーションとして実装する場合,携帯電話にWebサーバー経由で電子メールの情報を表示することになるため,Webベース型アプリケーションから電子メールサーバーに対するアクセスが必要となる。
電子メールシステムのなかには,Internalネットワークに配置されている認証サーバー(たとえば,Windows NTやWindows 2000のドメインコントローラ)によってセキュリティを保っているものがある。このようなシステムでは,DMZに配置されているWebベース型アプリケーションから電子メールサーバーにアクセスするために,Internalネットワークに配置された認証サーバーに接続する必要がある。一般的に,DMZに配置されているWebベース型アプリケーションからがInternalネットワーク上で提供されているサービスにアクセスするためには,そのサービスに対応するTCPポートのアクセスを許可するようにファイアウォールを構成すればよい。しかし,Windows NTドメインでは,部分的にダイナミックポートがサポートされないなどの問題があるため,TCPポートのアクセスを許可しただけでは,期待されたように動作しないことも多い。
このため,電子メールシステムに限らず,Internalネットワーク上のWindows NTドメインとアクセスする必要が生じた場合には,Webベース型アプリケーションそのものをInternalネットワークに配置することを考えたほうがよいだろう。このような構成を実現するには,特定の通信をInternalネットワーク上のWebベース型アプリケーションに転送するようにファイアウォールを設定すればよい。ただし,このように設定した場合,Webサーバーがクラッキングされると,その影響はInternalネットワーク全体に及ぶため,セキュリティ上は好ましくない。Internalネットワーク上のWebベース型アプリケーションでインターネットからのアクセスを受け付ける場合には,FTPサービスに代表される不要なサービスを停止させたり,HTTPによるファイルのアップロードを拒否したり,といった具合に,Webサーバーの設定に注意する必要がある。
Fig.3-19 Internalネットワーク上に配置されたWebサーバーへの接続(図版をクリックすると拡大可能)
(田村峰幸,日立情報システムズ)
 |
20/20 |  |
