- 締切済み
社内ファイルサーバをインターネットから分離したい
社内ネットワーク構築に関して 社内のパソコン(Windows 7 Home Premium)が6台有ります。その中の一台をファイル共有専用のパソコンとして利用しています。 社内の環境として社員のパソコン、及びファイル共有のパソコン全て(6台)インターネットが利用出来る環境になっています。 インターネットの環境はNTTのフレッツ光を利用しており、NTTが設置した機材の下にハブを設置し、全てのパソコン及びファイル共有のパソコンが接続しています。 ちなみに、電話もひかり電話を利用しています。 上記の環境で、ファイル共有のパソコンが直接インターネットに接続していることが気になります。セキュリティソフトはインストールしています。定期的にアップデート等も実行しておりますが、普段はだれも利用していないパソコンになります。 今後の事も考え、ファイル共有の専用パソコンは Windows server に変更する予定ですがその際、現状の社内ネットワーク環境を見直したいと思っています。 出来ることであれば、Windows server は直接インターネットに接続させないようにしたいと思っています。 少し調べてみた所、ルーター(業務用)を導入してセグメント分けを行えれば可能かと思っておりますが、この考えで間違いがないでしょうか。 ルーター(業務用)を導入するだけで希望することが可能で有れば、具体的なお勧めのルーター(業務用)を教えて頂けないでしょうか。 ルーターの候補して、ヤマハの製品が良いかなと思っていますが、適切な機種が判断出来ません。 NVR500、RTX810、RTX1200 等々もしくは、FWX120 他に必要になる機材、考え方に関してアドバイスを頂きたいと思います。 アドバイスを頂き、自分が社内ネットワークの構築が難しい場合は、業者への相談することになると思いますが、相談の前に基本的な事は学んでおきたいと思っています。 また、Windows server をインターネットから分離した際、Windows update 等はどうしたら良いのでしょうか、インターネットに接続していなければ Windows update は実行しなくても良いのでしょうか。
- みんなの回答 (5)
- 専門家の回答
みんなの回答
- nnori7142
- ベストアンサー率60% (755/1249)
LANセグメントの分割だけでは無く、セキュリティ保護の観点から、利用端末数とWeb参照・メール機能の台数の観点も有りますので、機器的にはYamaha「RTX1210」とUTM装置と言った形、LAN分割には、Yamaha-L2スイッチでの分割LAN構成になるかと存じます。 ※ http://www.rtpro.yamaha.co.jp/RT/docs/lan-divide/ ご指摘のWindowsアップデートも、各端末の適用状況やセキュリティ確保の均一化も考えないといけませんが、アップデート未適用でのゼロディ攻撃対策や不正アクセス対策も考えないといけません。 UTM装置での複数年セキュリティ・ライセンス契約ですと、セキュリティ機能の統合管理も可能となりますが、年数経過でのセキュリティソフト更新などの手間と時間を考えると、必須の条件になるかと存じます。 FWX120でのセキュリティライセンス契約ですと、精々10台までの管理が処理能力上限となり、内部ファイアーウォール・スループットやセキュリティ負荷時のスループットは、保証しにくい要素となります。 UTM装置は、端末管理台数の関連が有りますが、推奨はFortinet社です。 セキュリティ付加でのスループットは、Fortigate-90Dで実測50Mbps、100Dで実測500Mbpsまでの対応となります。
ファイル共有が目的ならば『NAS』と言う機器を購入すれば簡単です。 Windowsサーバは社内メールサーバとしての利用が多いようです。 ハブの代わりにルータを購入し、ルータのDHCP機能をオフにして 利用するのが最良かと考えます。 ルータ(ハブモード)-////--PC -/-- NAS&LAN接続プリンター ルータ(ハブモード)でアクセス制限等の設定が可能です。 通常のハブの場合単に接続してるだけですので、外内部からの不法アクセス に対処出来ません。
お礼
kiyomac 様 アドバイスをありがとうございます。 「NAS」はネットワーク対応ハードディスクと言う認識で、ファイルを保存することしか出来ない機材というイメージです。利用目的で考えれば十分だと思うのですが、ウィルス対策等はどうするのかな?と思っていました。 基本、他の方からのアドバイスで現状のネットワーク構成は、ルーターの配下にある為、ファイルサーバーへ外部から不正アクセスは無い、運用を注意すればと良いと理解しました。
現在の環境は、全てが同一セグメントと想定します。 (1)ご要望について ファイルサーバのIP設定がDHCPになっていた場合、手動で設定して下さい。 その際、デフォルトゲートウェイは設定せず空白のままにして下さい。 これで、所内からのPCからはファイルサーバにアクセスできますが、ファイルサーバはインターネット接続ができなくなります。 逆にインターネットに接続したい場合には、デフォルトゲートウェイを設定すれば接続できます。 (2)現環境について 現在の環境では、サーバは直接インターネットに繋がっていません。 (おそらく)ルータを介して繋がっています。 "NTTが設置した機材"←これが(おそらく)ルータです。 (3)セグメントに関して 貴所の環境でどうしてもセグメント分けしたいのであればL3スイッチ導入の方が良いかと思います。 (4)その他 昨今、サーバに関してもインターネットへ接続することが一般的であります。 全6台の貴社環境を考慮すると、一般的なネットワーク設計であるかと思います。 特別な事情が無いのであれば特に心配する必要は無いかと。
お礼
taigideatta 様 アドバイスをありがとうございます。 (1)ご要望について 今後は、クライアントPCも含め、IPアドレスは全て固定にして管理したいと思います。ファイルサーバに関しては、デフォルトゲートウェイを空欄にします。 (2)現環境について 他の方にもアドバイスを頂いておりますが、NTTの装置がルーターとのこと理解出来ました。 (3)セグメントに関して セグメント分けをするなら、ルーターでは無くL3スイッチを検討との事、その際は再度検討してみます。 (4)その他 何だか少し安心しました。
- chie65536(@chie65535)
- ベストアンサー率44% (8740/19838)
コマンドプロンプトで「ipconfig」とやってみて下さい。 IPアドレスが「192.168.0.xxx」のように、ローカルIPアドレスになっていれば、ファイル共有のパソコンがインターネットに接続できる状態であっても、何も問題ありません。 ローカルIPアドレスになっていれば、そのパソコンは「外の世界からは見えない」ので、中から外には接続できますが、外から中には接続できません(サーバーPC自体にウィルスが入って、内側から通信を開始されると外部に接続されちゃいますが、それは「ウィルス感染時」なので論外です) >少し調べてみた所、ルーター(業務用)を導入してセグメント分けを行えれば可能かと思っておりますが、この考えで間違いがないでしょうか。 「IPアドレスが、ローカルIPアドレスになっている状態」は「すでにルーターが導入されていて、セグメント分けが行なわれている状態」ですから、余計な事はしてはいけません。 ルーターが既に導入されている状態で、更にルーターを入れると「2重ルーター」と言う状態になって、ルーターに専門的で細かい設定を施さないと、内部のコンピューターはインターネットに接続出来なくなります。 >インターネットの環境はNTTのフレッツ光を利用しており 光回線の場合、光ケーブルの先に「終端装置」と「ホームゲートウェイ装置」が付いていると思います。 この「ホームゲートウェイ装置」は「ルーターの機能」を持っていて、WAN側(外部)とLAN側(内部)で、セグメントが分けられています。 ファイルサーバーだけを完全に外部から切り離す場合は、以下のように「2重ルーター」にする必要がありますが、高度な設定が必要です。 光回線 | (WAN側) ホームゲートウェイ装置 (LAN側) | +----+-+--+----+セグメント1(192.168.0.xxx) | | | | PC PC PC (WAN側) 追加ルーター (LAN側) | +セグメント2(192.168.1.xxx) | ファイルサーバー 普通に上記のように設置しても、各PCは「ファイルサーバーは、追加ルーターの先にある」のを判りませんから、各PCからファイルサーバーは見えなくなってしまいます。 また、ファイルサーバーと各PC間で通信するには「追加ルーターで、WAN側ポートから来た通信接続を、LAN側ポートに通過させる設定」が必要になります。通常、普通のルーターは「WAN側ポートから来た通信接続はすべて遮断するのがデフォルト」なので、何の設定もしないで居ると、各PCとファイルサーバーは通信できません。 これらの「高度な設定」は「どういう機器が必要か判らない」などと言っているレベルの人では、設定するのは不可能です。
お礼
chie65535 様 アドバイスをありがとうございます。 「ipconfig」を実行した所、IPアドレスは「192.168.0.xxx」となっています。 ローカルIPアドレスになっています。 この状況であれば、ファイルサーバからインターネットに接続が出来ても、基本外部からの不正アクセスは防ぐことが出来る状態と理解しました。 後は、今後ファイルサーバではWEBサイトの閲覧や、メール等は利用しないようにしたいと思います。 質問した意図は、以下のイメージでした。うまく表現出来ず申し訳ありません。 光回線 | (WAN側) ホームゲートウェイ装置 (LAN側) | 新規ルーター || | +-------------+ (192.168.1.xxx) | | +----+-+--+(192.168.0.xxx) | | | | | PC PC PC ファイルサーバー 専門的な知識が無ければ設定出来ないとの件、判りました。 まずは、現状のネットワーク構成でも大丈夫とのことで、ひとまず安心しました。業者さんに相談する際は、アドバイスを頂いた構成で相談したいと思います。
- t_ohta
- ベストアンサー率38% (5238/13705)
Windows Serverをインターネットに接続できなくするとWindows Updateが面倒です。 また、ファイルサーバとクライアントPCのセグメントが異なると、ルーティングの設定等が必要になりますので、使い勝手が落ちます。 Windows Serverがインターネットにアクセスできる事の何を心配されているかによって、対策が異なってきます。 外部からの攻撃について心配されているのであれば、NTTが設置して行った機器にルータ機能があってNAPTが動作しているはずですので、ルータのポート開放等の設定をしない限り直接攻撃を受けることはありません。 誰かがServerにログインして不用意に危険なWebサイトにアクセスしたり、怪しげなソフトをダウンロードすることでウイルスに感染するような事態を気にされているのであれば、アクセス権の管理をしっかり行い、管理者以外がServerにログインしないようにする事が大事です。 クライアントPCがウイルス等に感染し、共有フォルダにあるファイルがウイルスに感染したり、破壊・漏洩する事を気にされているのであれば、クライアントPCのセキュリティ対策の徹底と社員教育が重要です。 セグメントを分けた所で、共有アクセスしていたら被害は免れられません。
お礼
t_ohta 様 アドバイスをありがとうございます。 心配しているのは、外部からの不正アクセスに関してです。 今後、各パソコンのデータは極力、ファイルサーバに保存するようにしたいと思い、ファイルサーバが現状インターネットへ接続出来ている状況であれば、外部から何らかの方法でアクセスされる可能性があるかと思い、質問させて頂きました。 他の方からも現状のネットワーク環境で有れば、大丈夫とのアドバイスを頂いております。 自分も、Windows server をインターネットから隔離した場合、update 等はどるなるんだぁ?と漠然とした疑問が有ったのですが、アドバイスを頂き納得しました。 クライアントPCに関して、自分が定期的にメンテナンスしています。利用者に関してはもう注意してもらうように相談しかないと思います。
お礼
nnori7142 様 アドバイスをありがとうございます。 ご返事が遅くなり失礼いたしました。 LANの分割に関しては、ヤマハのL2スイッチで可能とのことありがとうございます。 また、UTM装置の件アドバイスありがとうございます。 UTMとは何か調べて見ました。統合脅威管理との事でWEフィルタリング、ウィルス検知、不正侵入防止、ファイヤーウォール等々の機能を1台の装置にまとめた機材と理解しました。 セキュリティを保つ為にも、UTM装置は必須に装置と理解しました。 是非とも、同時に導入を進めたいと思います。予算もありますがまずはお勧めのFortinet社の製品を検討してみたいと思います。