出版
多くのIT部門では、インターネットに公開されているシステムをファイアウォールの非武装地帯(DMZ)に配置しています。これは、サーバーを内部および外部からの攻撃から保護するのに役立ちます。また、DMZにサーバーを配置することで、公開されているサーバーが攻撃者に侵害された場合でも、内部ネットワークを保護することができます。Outlook Web Access(OWA)サーバーをDMZに配置することもできます。
多くのIT部門では、インターネットに公開されているシステムをファイアウォールの非武装地帯(DMZ)に配置しています。これ
は、サーバーを内部および外部からの攻撃から保護するのに役立ちます。また、DMZにサーバーを配置することで、
公開されているサーバーが攻撃者に侵入された場合でも、
内部ネットワークを保護することができます。
Outlook Web Access (OWA)
サーバーを DMZ 内に設置することは可能ですが、多くの設定が必要です。まず、 Exchange サーバー
上の情報ストアとディレクトリサービスのポートを
静的ポートにマッピングする必要があります。そうしないと、Exchange サーバーは
クライアント(OWA を含む)に対して幅広いポートで応答するため、それらのポート
を開放する必要があります。
OWA が正しく機能するには、DMZ と内部ネットワーク間のポート 135、137、138、139 などを開く必要があります
。ただし、これらのポートを開くと、
OWA サーバーを DMZ に配置する効果が低下します。攻撃者が
OWA サーバーに侵入した場合、
プライベートネットワークにアクセスできるポートが多数存在することになります。
OWAサーバーをDMZに配置すると、必要な設定作業
量に比べてセキュリティ面でのメリットが限られるため
、多くの組織はOWA
サーバーをプライベートネットワークに配置することを選択しています。これにより、
設定が大幅に簡素化されます。Exchangeサーバー上のポートを静的にマッピングする
必要はありません。OWAサーバーはファイアウォールの背後にあるため、 DMZ
内と同様に外部からの攻撃から保護されます
。
セキュリティ意識が非常に高く、
セキュリティ強化にあらゆるメリットを求める組織にとって、OWA
サーバーをDMZに配置することは、手間をかけるだけの価値があります。そうでない組織にとっては、
この代替案は許容できる妥協案と言えるかもしれません。
ゲスト寄稿者
