安全なネットワーク構成について考える

ハードウェア構成 で書いた機器を使用し、サーバを外部公開する際の安全なネットワーク構成について考えます。

サーバ SC430 上で VMWare Server を使った VM を数台動かしており、そのうち一台を外部公開します。サーバをルータとして動かすことも可能ですが、安定性、汎用性などの理由から今回は考えません。(サーバがダウンした際に他の機器もインターネットに接続できなくなってしまうので。) また機器構成が 複眼中心 : ネットワーク構成 の方とほぼ同じで、以前にリンク先記事のコメント欄で相談させていただきました。(その際はありがとうございました。)

なお、ネットワーク図の作成には Passion For The Futureで紹介 されていた Network Notepad Homepage を使用しました。

方法1. ハブにすべての機器を接続

ルータにギガハブを繋げ、その下にその他の機器を接続する方法です。この方法が最もシンプルで簡単なのですが、すべての機器が同じネットワークに属するので、もしサーバが乗っ取られたような場合に LAN 内の機器も危険に晒されてしまいます。

 

方法2. ルータの VLAN 機能でサーバ側のネットワークを分離

 

ルータ(BRL-04FMX) の VLAN 機能を使う方法です。DMZ にサーバを置く、一般的な構成ですね。この方法だと 、ルータのの LAN 側は 100Mbps までしか対応していないため、LAN側 -> サーバ間のネットワークが遅くなってしまいます。サーバはファイルサーバとしても使うので、これでは困ります。ルータ内蔵のハブが Gigabit 対応ならば問題無いのですが。

方法3. サーバに NIC を追加してホスト OS と VM のネットワークを分離 ＋ VLAN

 

 

サーバに NIC を追加し、ホスト OS と外部公開用 VM のネットワークを分離する方法です。サーバのホスト OS はギガハブと接続し、外部公開用の VM はルータと接続。さらにルータの VLAN 機能で、LAN 側と外部公開 VM 側のネットワークを分離します。つまり物理的には上記のような接続ですが、論理的には以下のようになります。

このように、外部公開 VM と LAN 内のネットワークを論理的に分離して安全を確保しつつ、サーバのホストOSと LAN 側機器の Gigabit 接続を確保できます。

まとめ

現在は 方法3 で書いたネットワーク構成で動かしています。追加投資も NIC 一枚 (1000円程度)で済みました。 ルータのLAN側のハブが Gigabit 対応ならばもっとシンプルに組めるのですが、まだ高価で、これといった機種が見つかりませんでした。また BRL-04FMX では、通常 VLAN の異なるグループ間の通信はすべて遮断されてしまいますが、セカンダリ LAN 機能＋フィルタ を使い、指定した通信だけ許可することが可能です。SSH などの必要最低限の通信のみ許可しています。

具体的な設定方法などは、後日別の記事で紹介したいと思います。

 

追記1 (2007/04/29)
もしルータの LAN 側ハブが Gigabit 対応でも、サーバに NIC を追加する方法は、ホスト OS と公開用 VM のネットワークを論理的に完全に分離可能という点でメリットがあると思います。その場合は、ルータと別にハブを用意する必要が無くなりますが。

 

自宅サーバ構築 TOP へ戻る