単一のファイアウォール

2 つのうちより簡単で安全性の低い方のオプションでは、1 つのファイアウォールを使用して Web サーバーへのトラフィックを制限します。通常はポート 80 だけが開かれたままになります。Web サーバー、ArcGIS Web Adaptor、GIS サーバー、およびデータはすべてファイアウォールの内側のセキュリティで保護された内部ネットワーク上に存在します。

境界ネットワーク内でリバース プロキシと ArcGIS Web Adaptor を使用する複数のファイアウォール

より安全な、ただしより複雑な手法は、境界ネットワーク内に Web サーバーと ArcGIS Web Adaptor を構成することです。これは、DMZ (DeMilitarized Zone) またはスクリーン サブネットと呼ばれる手法です。このシナリオでは、ArcGIS Web Adaptor はポート 80 経由でリクエストを受信した後、ポート 6080 を使用して別のファイアウォール経由でそのリクエストを GIS サーバーに送信します。ArcGIS Web Adaptor により、コンピューターがリバース プロキシとして動作します。

次に、このシナリオの各コンポーネントを詳しく見ていきます。

• 境界ネットワークは、インターネット ユーザーがファイアウォール経由でアクセスできるコンピューターで構成されますが、セキュリティで保護された内部ネットワークの一部ではありません。境界ネットワークは、直接的なインターネット クライアント アクセスから内部ネットワークを分離します。
• 境界ネットワークの ArcGIS Web Adaptor は、ポート 80 などの共通ポートを通じてインターネット リクエストを受信します。他のポートからのアクセスはファイアウォールによって阻止されます。次に、ArcGIS Web Adaptor は ArcGIS Server ポート 6080 を使用して別のファイアウォール経由で、リクエストをセキュリティで保護された内部ネットワークに送信します。
• GIS サーバーとデータ サーバー (存在する場合) は、セキュリティで保護された内部ネットワーク上に存在します。セキュリティで保護されたネットワークに渡されるリクエストは、ArcGIS Web Adaptor から送信される必要があり、ファイアウォールを通過する必要があります。セキュリティで保護された内部ネットワークからのレスポンスは、送信されてきたときと同じようにクライアントに返されます。まず、レスポンスはファイアウォール経由で ArcGIS Web Adaptor に渡されます。次に、ArcGIS Web Adaptor は別のファイアウォール経由でレスポンスをクライアントに送信します。

境界ネットワーク内のコンピューターが安全でなくなった場合でも、2 番目のファイアウォールにより、内部ネットワーク上のコンピューターに影響が及ぶ可能性が低く抑えられます。

既存のリバース プロキシの統合

すでにリバース プロキシを使用している組織では、リクエストをセキュリティで保護された内部ネットワーク上の ArcGIS Server にルーティングするよう、リバース プロキシを構成できます。最も基本的な方法は、ArcGIS Web Adaptor をインストールせずに、ポート 6080 を通して直接 GIS サーバーに接続することです。

リバース プロキシとセキュリティで保護された内部ネットワーク間のポートを非公開のままにする場合は、セキュリティで保護された内部ネットワーク内の別の Web サーバーに ArcGIS Web Adaptor をインストールします。この ArcGIS Web Adaptor を構成して、選択したポートを経由するトラフィックを受け付けることができます。

ArcGIS Server をリバース プロキシ サーバーと統合する方法の詳細については、「ArcGIS Server でのリバース プロキシ サーバーの使用」をご参照ください。