チュートリアル : セキュリティ ゾーンの作成 (第 1 部)
更新 : 2007 年 11 月
このチュートリアルは、「チュートリアル : 論理データセンター ダイアグラムの作成」に基づいています。
このチュートリアルでは、ユーザー定義の制約とゾーン エンドポイント制約を使用し、ゾーン内でホストされる論理サーバーに具体的な要件を作成する方法を学びます。また、再利用できるゾーンのプロトタイプを作成し、ツールボックスに登録する方法も学びます。最初の手順では、ゾーンに着信する通信の種類を制限します。このチュートリアルでは、「チュートリアル : 論理データセンター ダイアグラムの作成」で作成した PerimeterNetwork セキュリティ ゾーンを使用します。
https の着信ゾーン トラフィックを 443 番ポートだけで許可するには
Internet 着信ゾーンのエンドポイントを右クリックし、[設定および制約] をクリックして、設定および制約エディタを表示します。
[ゾーン通信の制約] の [DatabaseServerEndpoint] チェック ボックスと [GenericServerEndpoint] チェック ボックスをオフにします。
この設定は、データベースまたは汎用サーバーが着信ゾーンのエンドポイントに接続することを禁止します。
[WebSiteEndpoint] の [ユーザー定義] チェック ボックスをオンにします。
[ユーザー定義] を展開し、[ユーザー定義] の下にある [WebSite] チェック ボックスをオンにします。
この設定は、着信ゾーンに接続して通信する Web サイトに制約を作成することを許可します。
エディタの左ペインの [Web サイト] 見出しをクリックします。右ペインの [認証] ツリーを展開し、[SecureBindings] チェック ボックスをオンにします。
[演算子] の [Contains One] をクリックします。
[値] フィールドをクリックし、省略記号 (…) をクリックします。
ComplexSetting コレクション エディタが表示されます。
[追加] をクリックします。
[ポート] に「443」と入力します。
[IPAddress] フィールドは空白のままにします。
[OK] をクリックします。
着信ゾーンのエンドポイントから、443 番ポートの HTTPS トラフィックを処理するすべてのトラフィックを制限しました。次の手順では、ゾーンに含める論理サーバーの種類を制限します。
ゾーンに含める論理サーバーの種類を制限するには
ゾーンの形状を選択し、設定および制約エディタを開きます。
[ゾーン コンテインメイトの制約] の [GenericServer]、[WindowsClient]、[ゾーン] チェック ボックスをすべてオフにします。
この設定は、ゾーンを制限し、汎用サーバー (すべてのアプリケーションをホストするサーバー)、Windows サーバー (Windows クライアントをホストするサーバー)、または他のゾーンをゾーンに含めないようにます。これらは、ツールボックスや論理データセンター ダイアグラムの他の場所からゾーンにドロップできません。
次の手順では、データベース サーバーをゾーンに追加します。
データベース サーバーをゾーンに追加するには
ツールボックスから DatabaseServer をダイアグラムにドラッグし、PerimeterNetwork ゾーンの内側に置きます。
サーバーに SessionStore という名前を付けます。
このサーバーには、HardenedIIS Web サーバーが送信する SQL セッション状態情報が保存されます。
SessionStore のプロバイダ エンドポイントを選択し、Alt キーを押しながら HardenedIIS に接続します。
次の手順では、ゾーン制約を作成し、Web サーバーが Web サービスをホストしないようにします。
Web サーバーが Web サービスをホストしないように制限するには
ゾーンをクリックします。
[ゾーン コンテインメイトの制約] の [IISWebServer] を展開し、[ユーザー定義] と [InternetInformationServices] チェック ボックスをオンにします。次に [WebSites] チェック ボックスをオンにします。
設定および制約エディタの左ペインで [WebSites] ノードをクリックし、右ペインで [コンテンツ] ノードを展開します。
[ScriptMaps] を選択します。
.gif "メモ")
メモ :エディタの左ペインの [WebSites] ではなく、[WebSite] を選択すると、[ScriptMaps] セクションは [コンテンツ] の下に表示されません。
[演算子] ボックスの一覧の [Contains None] をクリックします。
[値] フィールドをクリックし、省略記号 (…) をクリックします。
ComplexSetting コレクション エディタが表示されます。
[追加] をクリックします。
[ファイル拡張子] に「.asmx」と入力します。
[IncludedVerbs] に「GET,HEAD,POST,DEBUG」と入力します。
メモ :文字列は正確に入力してください。空白を追加したり、動詞の順番を変更したりすると、制約は機能しなくなります。
[スクリプト] を [True] に設定します。
[ScriptProcessor] に aspnet_isapi.dll のパス (%WINDIR%\Microsoft.NET\Framework\v2.0.40420\aspnet_isapi.dll) を入力します。
[OK] をクリックします。
この制約は、Web サービスが perimeter ネットワーク内部で Web サーバーからホストされることを禁止します。つまり、特定のスクリプト マップの実行を許可した Web サイトをホストすることを Web サーバーすべてに禁止します。この制約はゾーン自体に作成されるため、ゾーン内部に置かれた Web サーバーは、Web サーバーがホストするアプリケーションと同様に、この制約に照らして評価されます。
最後の手順では、ツールボックスからアクセス可能であるゾーンの再利用可能なバージョンを作成し、他のユーザーが利用できるようにします。
PerimeterNetwork ゾーンの再利用できるプロトタイプを作成するには
ゾーンをクリックします。
[ダイアグラム] メニューの [ツールボックスに追加] をクリックします。
[ツールボックスに追加] ダイアログ ボックスが表示されます。
[名前] に「PerimeterNetwork」と入力し、[OK] をクリックします。
[名前を付けてファイルを保存] ダイアログ ボックスが表示されます。このファイルは .lddprototype ファイルとして保存されます。これは、このファイルが論理データセンター デザイナで使用できるプロトタイプであることを意味します。
[保存] をクリックします。
ツールボックスを開き、PerimeterNetwork をダイアグラムにドラッグします。
このプロトタイプを作成することにより、PerimeterNetwork ゾーンのカスタマイズ バージョンが作成されます。このバージョンは、論理データセンター ダイアグラムを作成または編集するときに再利用できます。このプロトタイプは、新しい分散システム ソリューションを作成すると必ず表示されます。これはデザイナの機能です。作成時に開いたソリューションの機能ではありません。
.lddprototype ファイルのコピーを既定のプロトタイプ フォルダに配置することにより、分散システム デザイナの他のユーザーがこのプロトタイプを共有できます。既定のプロトタイプ フォルダは通常、%ProgramFiles%\Microsoft Visual Studio <versionNumber>\Common7\Tools\DesignerPrototypes\Prototypes にあります。論理データセンター デザイナで再利用できるプロトタイプの作成の詳細については、「方法 : 構成済みのゾーンと論理サーバーからカスタム プロトタイプを作成する」を参照してください。作成したプロトタイプの他のユーザーへの再頒布の詳細については、「方法 : 新しいカスタム プロトタイプをインポートまたはインストールする」を参照してください。
次の手順
このチュートリアルの第 2 部では、次の操作を学習します。
HardenedIIS がホストするアプリケーションのポリシーを設定します。
既存の設定済み IIS サーバーの設定を HardenedIIS にインポートします。
Web サービスの HardenedIIS への配置を評価します。
参照
処理手順
チュートリアル : セキュリティ ゾーンの作成 (第 2 部)