- ベストアンサー
異なるグループのLANへ安全に入るには‥
現在FWやプロキシの体制が万全なLANがあります。 それとは別に通常セキュリティレベルのLANがあり、 それぞれは全く別のインターネット回線を使用しています。 万全な方から異なる方のLANへ、 クライアントの負担をなるべく少ない状態で入るには、 どういった方法がありますでしょうか。 万全なLAN→ルータ→VLAN→もう一方のルータ→もう一方のLAN ということができたりするのでしょうか。 色々調べてみたのですが、色々な情報が混ざってしまって混乱気味です(___; どうぞ宜しくお願いします。
- みんなの回答 (5)
- 専門家の回答
質問者が選んだベストアンサー
>LAN01のLANからLAN02内のNASを覗くことができるが、 >LAN02からはLAN01に対して何もできない 前提条件が全く不明なので、以下の仮定で説明します。 ・NASは、特定のTCPポートAを使用する。 ・NASからコネクションを張る事は無い。(受動デバイス) ・LAN1とLAN2間にRT(以下RTと表記)がある。 ・UDP/ICMP等のパケットは全遮断でも問題が起きない。 ・NASのアドレス解決は、検討対象外。 RTにて以下のパケットフィルタを行う。 1)LAN2←→LAN1のUDP/ICMPを全遮断。 不要なUDP/ICMPパケットを全て遮断 2)LAN1→NAS(LAN2向け)TCPポートAをOPEN。 LAN1→NAS通信のTCP通信のみ許可 3)LAN2→LAN1向けTCP(SYN)を遮断。 LAN2→LAN1方向のコネクション確立のためのパケットを遮断。 大体、こんな感じでしょうか。 環境に合わせて検討してください。 PS. 一般には、この様な"設計"はSE契約等の費用が発生する、立派なお仕事です。 まあ、CISCOルータのACLの設定演習で良くやるパターンですけどね。
その他の回答 (4)
- mii-japan
- ベストアンサー率30% (874/2820)
>具体的な解決方法を求めています。 これ以上具体的な回答を要望するのでしたら ご使用の環境を具体的に書いてください ネットワーク機器、サーバの機種・OS等 ネットワークに接続されている機器の個別情報、投入可能な費用、物理的な配置等 具体的な回答に必要な事項も開示にしないで そのような受け取り方をするのでしたら、専門の業者にそれなりの費用を払って依頼してください
- mii-japan
- ベストアンサー率30% (874/2820)
>ネット-ルータ-FW-LAN01 >ネット-ルータ-LAN02 >があり、LAN01とLAN02が同じフロアにあって、LAN01からLAN02内のNASを覗くことができるが、LAN02からはLAN01に対して何もできないようにしたいのです。 LAN01とLAN02をファイアウォールで接続です LAN01からLAN02のNASのみにアクセスを許可し、他は全て拒否する接続にします 具体的な実現方法は多種多様です、セキュリティレベル・管理・費用・使い勝手等を総合的に判断して決めてください
補足
具体的な解決方法を求めています。
- yambejp
- ベストアンサー率51% (3827/7415)
万全なLANがルータをかいして、万全でない LANにつながるというはおかしなはなしで それは万全でないLANというイミでしょう。 もしかりにつながるようであれば、個々のPC にセキュリティ対策をしておくしかないでしょう。
- qaaq
- ベストアンサー率36% (146/404)
何がしたいのか理解できません。 もう少し具体的に書いてください。 ただ、他方のセキュリティを突破するための手段を求めているのなら、 回答しないこともあり得ます。
補足
すみません。。 ネット-ルータ-FW-LAN01 ネット-ルータ-LAN02 があり、LAN01とLAN02が同じフロアにあって、LAN01のLANからLAN02内のNASを覗くことができるが、LAN02からはLAN01に対して何もできないようにしたいのです。 LAN01とLAN02は物理的に近くにあるので、何とか上記のようなことができないだろうかと考えております。 セキュリティの突破などを目論んでいるわけではありません。 宜しくお願いします。
補足
もう少し冷静にお願いします。