« セキュアなWEBサイトの構築方法(ネットワーク構成編) | Main | 社内ネットワークに認証スイッチや検疫LANを導入しよう »

November 16, 2004

セキュアなWEBサイトの構築方法(ネットワーク構成編) part2

セキュアなWEBサイトの構築方法(ネットワーク構成編)を公開したところ、改善案を送ってくださった方(というか友達)がいました。なんと図まで作成してくれました。本人に聞いてみたところ、著作権放棄で(笑)公開を許可してくれましたので載せてみたいと思います。匿名希望とのことで名前は出しません~。

【案1】
sercurenet2_1.jpg

■ポイント
・Private IP segment (A)でglobalから内部NWを隠蔽
・DBへの接続はcore SW経由より、別NWをひいて、InternetとDBのtrafficを分離(保守とか負荷とかを考慮して)
・DBセグメントを設けて、Private IP (A)と(B)を分離する。FWのpolicyで不正なtrafficが流れないようにする。Routingはしない。Static NATでforwardするのみ。
 →DBに個人情報などがある場合は、特に注意。private IP (B)をクリーンルームにする(一般の社員がアクセスできないようにする)。FWでアクセスログを取るなど。
・private IP (A)と(B)のクラスを別にすると、管理が比較的容易。
・メンテナンス用端末は、Distribution SWとFWの間のSWにぶら下げればヨロし。


【案2】
sercurenet2_2.jpg

■ポイント
一歩進めて、あらかじめSVRとdistribution SWに二重に配線をして、それぞれprivate IP (A)と(B)のセグメントを付与する案。完全にトラヒックを分離する。ただし、distribution SWの負荷はチェック要。ただし、前の案と比べてdistribution SWのポートとSVRのNICが単純に倍必要になるので、コストは高め。たぶん配線は、そこそこ楽になると思う。

※sanonosaより一言: 「トラヒック」となっているところが業界人っぽくてよいですね。あと、わざわざ画像まで作ってくれたということは、暇なのではなくむしろ逆でよほど彼が今仕事でテンパってる(=現実逃避モード)ということでしょう。でもとりあえずまだ余力がありそうで一安心です。お仕事引き続きガンバってください。(なんじゃそりゃ(笑))

|

« セキュアなWEBサイトの構築方法(ネットワーク構成編) | Main | 社内ネットワークに認証スイッチや検疫LANを導入しよう »

ネットワーク 【人気】」カテゴリの記事

Comments

案1と案2が同じ画像になっちゃってませんか?

Posted by: Dominion | May 25, 2006 at 03:26 PM

あ、本当だ。ご指摘ありがとうございました。

Posted by: sanonosa | May 25, 2006 at 04:50 PM

Post a comment



(Not displayed with comment.)




TrackBack

TrackBack URL for this entry:
http://app.cocolog-nifty.com/t/trackback/32004/1978804

Listed below are links to weblogs that reference セキュアなWEBサイトの構築方法(ネットワーク構成編) part2:

« セキュアなWEBサイトの構築方法(ネットワーク構成編) | Main | 社内ネットワークに認証スイッチや検疫LANを導入しよう »