自社サーバを公開する

RTXシリーズを使って、安全にインターネットを利用するとともに、自社ネットワークに設置したサーバーをインターネットへ公開するケースです。RTXシリーズには3つのイーサネットインターフェイスを装備。WAN、LAN、DMZのネットワーク構成を1台で構築・運用できます。

自社サーバを公開するときの構成図

高速インターネットアクセス性能

FTTH(光ファイバー)など高速化を続けるブロードバンド環境に対応するため、高速パケット処理技術「ファストパス」を搭載。高速スループット(※)を実現しました。パケットを効率的に処理することができるため、ブロードバンドのアクセス回線帯域を十分に活かすことができます。

(※) SmartBitsによる弊社測定値(双方向)

高度なフィルタリングによるファイアウォール

定評のあるヤマハルーターの高度なフィルタリングによるファイアウォールを搭載しました。 不正アクセス検知機能で、ネットワークを通過するパケットをIPヘッダやIPオプションヘッダ、ICMP、UDP、TCP、FTP、SMTPなど41種類のカテゴリーから監視します。 不正なアクセストライを発見後は、侵入やデータの漏洩・改ざんを未然に防止。 さらに、設定によってはパケットを破棄して、より高いセキュリティを確保することもできます。

独立3イーサネットインターフェース搭載

RTXシリーズでは、複数のイーサネットインターフェイスをそれぞれ独立して設定できますので、WANを含むインターネット、LAN、そしてDMZを同時に運用可能です。 ファイアウォール機能によってLANセグメントを保護しながら、DMZセグメントでサーバーを公開することができます。

■RTXシリーズの設定例

LANの
インターフェイスの設定
(LAN1ポートを使用)
ip lan1 address 192.168.0.1/24
DMZの
インターフェイスの設定
(LAN3ポートを使用)
ip lan3 address 192.168.10.1/24
WANの
インターフェイスの設定
(LAN2ポートを使用)
pp select 1
pp always-on on
pppoe use lan2
pp auth accept pap chap
pp auth myname (ISPに接続するID) (ISPに接続するパスワード)
ppp lcp mru on 1454
ppp ipcp msext on
ip pp mtu 1454
ip pp address (グローバルアドレス)
ip pp nat descriptor 1
ip pp intrusion detection in on # 注釈1
pp enable 1
ip route default gateway pp 1
NATの設定 nat descriptor type 1 masquerade
nat descriptor address outer 1 (グローバルアドレス)
nat descriptor masquerade static 1 1 192.168.10.2 tcp www # 注釈2
nat descriptor masquerade static 1 2 192.168.10.3 tcp 21 # 注釈3
DHCPの設定 dhcp service server
dhcp scope 1 192.168.0.2-192.168.0.100/24
DNSの設定 dns server (ISPより指定されたDNSサーバのIPアドレス)
dns private address spoof on
フィルタの設定 ip filter source-route on
ip filter directed-broadcast on
ip filter 1010 reject * * udp,tcp 135 *
ip filter 1011 reject * * udp,tcp * 135
ip filter 1012 reject * * udp,tcp netbios_ns-netbios_ssn *
ip filter 1013 reject * * udp,tcp * netbios_ns-netbios_ssn
ip filter 1014 reject * * udp,tcp 445 *
ip filter 1015 reject * * udp,tcp * 445
ip filter 1020 reject 192.168.0.0/24 *
ip filter 1030 pass * 192.168.0.0/24 icmp
ip filter 1031 pass * 192.168.10.2 tcpflag=0x0002/0x0017 * www # 注釈4
ip filter 1032 pass * 192.168.10.3 tcpflag=0x0002/0x0017 * 21 # 注釈5
ip filter 2000 reject * *
ip filter 3000 pass * *
ip filter dynamic 100 * * ftp
ip filter dynamic 101 * * www
ip filter dynamic 102 * * domain
ip filter dynamic 103 * * smtp
ip filter dynamic 104 * * pop3
ip filter dynamic 105 * * tcp
ip filter dynamic 106 * * udp
ip filter dynamic 200 192.168.0.0/24 * telnet # 注釈6
ip filter dynamic 201 * 192.168.10.2 www # 注釈7
ip filter dynamic 202 * 192.168.10.3 ftp # 注釈8
ip lan3 secure filter in 2000
ip lan3 secure filter out 3000 dynamic 100 101 200
pp select 1
ip pp secure filter in 1020 1030 1031 1032 2000 dynamic 201 202
ip pp secure filter out 1010 1011 1012 1013 1014 1015 3000 dynamic 100 101 102 103 104 105 106
pp enable 1
[注釈の説明]

注釈1:
WANのインターフェイスで不正アクセス検知機能を有効にします。検知した結果はshow ip intrustion detectionコマンドで確認できます。

注釈2:
NATの影響で外側からのアクセスができなくなるので、WWWサーバへアクセスできるように穴を開けます。

注釈3:
注釈2と同様に、FTPサーバへアクセスできるように穴を開けます。

注釈4、注釈7:
WWWサーバへのアクセスのうち、最初のパケット(SYN)だけを通すフィルタです。その後に引き続く通信は、注釈7の動的フィルタで通します。

注釈5、注釈8:
注釈4と同様に、FTPサーバへのアクセスのうち、最初のパケット(SYN)を通すフィルタです。その後に引き続く通信は、注釈8の動的フィルタで通します。

注釈6:
WWWサーバとFTPサーバをメンテナンスするために使うtelnetの通信を通すフィルタです。

ページトップへ戻る