« HTTP圧縮を実現するアプライアンスサーバ | Main | セキュアなWEBサイトの構築方法(ネットワーク構成編) part2 »

November 16, 2004

セキュアなWEBサイトの構築方法(ネットワーク構成編)

姉妹サイトにてリクエストがありましたので、今回はセキュアなWEBサイトを構築するためのネットワーク構成について記してみたいと思います。

【一般的なセキュアネットワーク】
ネットワークセキュリティを語る際、求めるセキュリティレベルと予算によって作り方が結構変わってくるのですが、例えばDBのデータを守ることを第一に考えたとしたら以下のようなネットワーク構成になります。
sercurenet1.jpg

このネットワーク構成のポイントは

①DB用にプライベートIPネットワークを構成している。
②DBの前にファイアウォールを設置している。

というものです。不正アクセスに結構強そうですね。でもこの構成、各サーバからLANケーブルが2本ずつ出るようになるので配線が結構しんどいです。

【配線が楽なセキュアネットワーク】
シンプルな配線のままネットワークセキュリティレベルを向上させる方法ってないの?という叫びに近い声(?!)にお答えすべき、配線が楽なセキュアネットワークの構成例をご紹介します。この構成は一般的な例よりもセキュリティレベルが落ちますが実施は比較的楽なのでおすすめです。(この構成はウチで考えたもので、普通のSI企業からこのような提案を受けることは多分ないと思います。ただ、おすすめとか言っておきながらまだこの構成を実際に試したことはないんですけどね:-p)
sercurenet2.jpg

このネットワーク構成のポイントは

①コアスイッチでプライベートIPネットワークへのルーティングをしている。

というものです。なお言うまでもないですが、コアスイッチと各サーバにスタティックルーティングを追加する必要があります。(もしこの説明で不足でしたら個別に聞いてください)

【もっとセキュアにする方法はないの?】
画像データを作るのが面倒くさいので文章で説明します。^^;) この次は各WEBサーバをプライベートIP化することでしょう。グローバルIPを持つのはL4スイッチのVIPだけでよい、という方針です。ただそこまでやると今度はサーバメンテ等の作業が面倒になるんですよね~。開発者からは非難が殺到することでしょう。

|

« HTTP圧縮を実現するアプライアンスサーバ | Main | セキュアなWEBサイトの構築方法(ネットワーク構成編) part2 »

ネットワーク 【人気】」カテゴリの記事

Comments

Post a comment



(Not displayed with comment.)




TrackBack

TrackBack URL for this entry:
http://app.cocolog-nifty.com/t/trackback/32004/1976813

Listed below are links to weblogs that reference セキュアなWEBサイトの構築方法(ネットワーク構成編):

« HTTP圧縮を実現するアプライアンスサーバ | Main | セキュアなWEBサイトの構築方法(ネットワーク構成編) part2 »