ファイアウォールと ArcGIS Server

単一のファイアウォール

2 つのうちより簡単で安全性の低い方のオプションでは、1 つのファイアウォールを使用して Web サーバへのトラフィックを制限します。通常はポート 80 だけが開かれたままになります。Web サーバ、ArcGIS Web Adaptor、GIS サーバ、およびデータはすべてファイアウォールの内側のセキュリティで保護された内部ネットワーク上に存在します。

単一のファイアウォールのシナリオでは、ファイアウォールは外部ネットワークと Web サーバの間に配置されます。

リバース プロキシ Web サーバを使用した複数のファイアウォール

より安全な、ただしより複雑な手法は、境界ネットワーク内に Web サーバと Web Adaptor を構成することです。これは、DMZ（DeMilitarized Zone）またはスクリーン サブネットと呼ばれる手法です。このシナリオでは、Web Adaptorはポート 80 経由でリクエストを受信します。次に、ポート 6080 を使用して別のファイアウォール経由で GIS サーバにリクエストを送信します。Web Adaptor により、コンピュータはリバース プロキシ Web サーバとして機能します。

複数のファイアウォールのシナリオでは、ファイアウォールはリバース プロキシ Web サーバの両側に配置されます。

次に、このシナリオの各コンポーネントを詳しく見ていきます。

• 境界ネットワークは、インターネット ユーザがファイアウォール経由でアクセスできるコンピュータで構成されますが、セキュリティで保護された内部ネットワークの一部ではありません。境界ネットワークは、直接的なインターネット クライアント アクセスから内部ネットワークを分離します。
• 境界ネットワークの Web Adaptor は、ポート 80 などの共通ポートを通じてインターネット リクエストを受信します。他のポートからのアクセスはファイアウォールによって阻止されます。次に、Web Adaptor は ArcGIS Server ポート 6080 を使用して別のファイアウォール経由で、リクエストをセキュリティで保護された内部ネットワークに送信します。
• GIS サーバとデータ サーバ（存在する場合）は、セキュリティで保護された内部ネットワーク上に存在します。セキュリティで保護されたネットワークに渡されるリクエストは、Web Adaptor から送信される必要があり、ファイアウォールを通過する必要があります。セキュリティで保護された内部ネットワークからのレスポンスは、送信されてきたときと同じようにクライアントに返されます。まず、レスポンスはファイアウォール経由で Web Adaptor に渡されます。次に、Web Adaptor は別のファイアウォール経由でレスポンスをクライアントに送信します。

境界ネットワーク内のコンピュータが安全でなくなった場合でも、2 番目のファイアウォールにより、内部ネットワーク上のコンピュータに影響が及ぶ可能性が低く抑えられます。

ヒント:

リバース プロキシ Web サーバを使用した上の図が適切なのは、Web サービスだけを公開している場合です。Web アプリケーションも公開している場合は、Web サーバを内部ネットワークに入れて、アプリケーションを安全にホストすることができます。