ファイアウォールは、他のコンピューターと送受信できるトラフィックを経由するコンピューター上のポートの数を制限するセキュリティ ツールです。ファイアウォールを使用して通信を少数のポートに制限すると、コンピューターにアクセスする方法を制限して、意図したプログラムだけを組織外のユーザーがアクセスできるようにすることができます。たとえば、Web トラフィックのみが Web サーバーを通過でき、他のタイプのトラフィックは通過できないようにすることが一般的です。ファイアウォールは、ハードウェア、ソフトウェア、またはその両方を通じて実装することができます。
ファイアウォールを使用すると、ワームやトロイの木馬などの攻撃を防ぐことができます。これらの攻撃は、コンピューター上で実行しているプログラムにより公開されるが、オープンなインターネットには公開することを想定していないオープン ポートを通ってシステムに出入りします。ファイアウォールは、電子メールに添付されたウイルスやネットワーク内部の脅威からシステムを保護するものではありません。したがって、ファイアウォールは重要ですが、セキュリティ全般をつかさどる唯一のコンポーネントではありません。アンチウイルス ソフトウェアと強固な認証/認可手法は、ファイアウォールと合わせて配置すべきセキュリティ手法の一例です。
メモ:
オープン ポートを制限することによって動作するファイアウォールは、着信 Web トラフィックを解析するためにアクティブに動作し、疑わしいコンテンツをブロックできる Web アプリケーション ファイアウォールとは異なります。Web アプリケーション ファイアウォールは、全体的なセキュリティ対策では有益なツールですが、このトピックの関心事項ではありません。境界ネットワーク (DMZ (DeMilitarized Zone) またはスクリーン サブネットとも呼ばれる) を実装して、外部ユーザーが ArcGIS Server サイトに直接アクセスできないようにすることがセキュリティのベスト プラクティスです。境界ネットワークは、外部ユーザーがアクセスできるネットワークの唯一の公開ポイントとして機能します。組織のネットワークにセキュリティのレイヤーを追加します。
このトピックでは、スタンドアロンの ArcGIS Server サイト (ArcGIS Enterprise ポータルでフェデレートされていないもの) を保護するためのファイアウォールの使用について説明します。ArcGIS Enterprise ポータルとフェデレートされた ArcGIS Server サイトのネットワーク セキュリティの詳細については、「ポータルのセキュリティについて」をご参照ください。
ファイアウォールによる ArcGIS Server の保護
ファイアウォールを使用して、スタンドアロンの ArcGIS Server サイトを保護するために、いくつかの手法を採用することができます。以下の手法では、ファイアウォールを使用して (セキュリティが適用された) 内部ネットワークと (セキュリティが保証されていない) 外部ネットワークを分離します。
境界ネットワーク内でリバース プロキシと ArcGIS Web Adaptor を使用する複数のファイアウォール
組織がリバース プロキシ サーバーをまだ使用していない場合、境界ネットワーク内にリバース プロキシ サーバーと ArcGIS Web Adaptor を構成できます。このシナリオでは、ArcGIS Web Adaptor はポート 443 経由でリクエストを受信します。次に、ポート 6443 を使用して別のファイアウォール経由で ArcGIS Server にリクエストを送信します。ArcGIS Web Adaptor により、コンピューターはリバース プロキシとして機能します。
次に、このシナリオの各コンポーネントを詳しく見ていきます。
- 境界ネットワークは、インターネット ユーザーがファイアウォール経由でアクセスできるコンピューターで構成されますが、セキュリティで保護された内部ネットワークの一部ではありません。境界ネットワークは、直接的なインターネット クライアント アクセスから内部ネットワークを分離します。
- 境界ネットワーク内の ArcGIS Web Adaptor は、一般的なポート (ポート 443 など) 経由で、インターネット リクエストを受信します。ファイアウォールは他のポート経由のアクセスを防ぎます。次に、ArcGIS Web Adaptor は ArcGIS Server ポート 6443 を使用して別のファイアウォール経由で、リクエストをセキュリティで保護された内部ネットワークに送信します。
- ArcGIS Server と他の ArcGIS Enterprise コンポーネントはセキュリティで保護された内部ネットワークにあります。セキュリティで保護されたネットワークに渡されるリクエストは、ArcGIS Web Adaptor から送信される必要があり、ファイアウォールを通過する必要があります。セキュリティで保護された内部ネットワークからのレスポンスは、送信されてきたときと同じようにクライアントに返されます。まず、レスポンスはファイアウォール経由で ArcGIS Web Adaptor に渡されます。次に、ArcGIS Web Adaptor は別のファイアウォール経由でレスポンスをクライアントに送信します。
境界ネットワーク内のコンピューターが安全でなくなった場合でも、2 番目のファイアウォールにより、内部ネットワーク上のコンピューターに影響が及ぶ可能性が低く抑えられます。
既存のリバース プロキシの統合
すでにリバース プロキシを使用している組織では、リクエストをセキュリティで保護された内部ネットワーク上の ArcGIS Server にルーティングするよう、リバース プロキシを構成できます。
リバース プロキシとセキュリティで保護された内部ネットワーク間のポートを非公開のままにするには、セキュリティで保護された内部ネットワーク内の別の Web サーバーに ArcGIS Web Adaptor をインストールします。
ArcGIS Server をリバース プロキシ サーバーと統合する方法の詳細については、「ArcGIS Server でのリバース プロキシ サーバーの使用」をご参照ください。
単一のファイアウォール
安全性の低い方のオプションでは、1 つのファイアウォールを使用して Web サーバーへのトラフィックを制限します。通常はポート 443 だけが開かれたままになります。Web サーバー、ArcGIS Web Adaptor、ArcGIS Server、およびデータはすべてファイアウォールの内側のセキュリティで保護された内部ネットワーク上に存在します。
強固なネットワーク セキュリティのために、クライアントと内部ネットワークの間に複数の防衛レイヤーを配置します。単一のファイアウォールが唯一の防衛レイヤーである場合、そのレイヤーが侵害されると、セキュリティ保護されたネットワークが悪意のある潜在的な活動に対して開かれます。このため、このような種類のセキュリティ構成はお勧めしません。
ArcGIS Server コンピューター間のファイアウォール
通常、ArcGIS Server サイト間または複数の ArcGIS Server サイト間にファイアウォールを配置する必要はありません。ただし、GIS サーバー コンピューター間にファイアウォールを配置する場合は、「ArcGIS Server で使用されるポート」に示されているポートを開いてください。