Secure Global Desktop 4.31 管理者ガイド > セキュリティー > ファイアウォールと一緒に Secure Global Desktop を使用する場合

ファイアウォールと一緒に Secure Global Desktop を使用する場合

問題点

ネットワークのさまざまな部分を保護する多数のファイアウォールがある環境で、Secure Global Desktop を使う必要があります。

解決方法

Secure Global Desktop 用に使うクライアントデバイスと Secure Global Desktop サーバーの間、および Secure Global Desktop サーバーとアプリケーションサーバーの間で、パケットの送信を許可するようにファイアウォールを設定します。Web サーバーと Secure Global Desktop サーバーの DNS 名が Secure Global Desktop にログインするのに使うクライアント用に正しく設定されていることを確認します。

Secure Global Desktop セキュリティーを使用すると、ファイアウォールを安全に経由できます。

事例

Indigo Insurance は現在次の 2 つのファイアウォールを使用しています。

• すべてのアプリケーションサーバーを囲んだアプリケーションサーバーファイアウォール。
• インターンネットとイントラネットの間に設けた外部ファイアウォール。

Indigo Insurance は、Secure Global Desktop サーバーのアレイを設置中で、ファイアウォールを設定して、外部ファイアウォールの内側と外側の両方にあるクライアントデバイスが、Secure Global Desktop を使ってアプリケーションサーバーにアクセスできるようにする必要があります。また、Indigo Insurance は、Secure Global Desktop サーバーを独自のファイアウォール内に入れて保護する必要もあります。Secure Global Desktop サーバーをインストールする各ホストには、ネットワークカードが 1 枚ずつあります。

次の図は、目的のネットワーク構成を示します。

解決方法

1. 外部ファイアウォールと Secure Global Desktop ファイアウォールは両方とも、Web サーバーと アレイのすべてのメンバー用の Secure Global Desktop サーバーのネットワークトラフィックを許可する必要があります。
   • Web サーバー用:
     • 80/tcp。HTTP Web サーバーを使用する場合に使います。
     • 443/tcp。セキュア (HTTPS) Web サーバーを使う場合に使います。
   • Secure Global Desktop サーバー用:
     • 3144/tcp。標準接続が利用可能な場合に使います。
     • 5307/tcp。セキュア接続が利用可能な場合に使います。

   一般に、80/tcp ポートと 3144/tcp ポートの組み合わせ、または 443/tcp ポートと 5307/tcp ポートの組み合わせのどちらかをオープンします。

   ポート 5427/tcp はクローズしてください。このポートは Secure Global Desktop サーバー間の重要なネットワークトラフィックに限って使用されます。

   Secure Global Desktop アレイのメンバーのサブセットだけをインターネット上に公開できます。ただし、ユーザーが通常、外部ファイアウォールの内側と外側の両方から Secure Global Desktop にログインする場合、インターネットからログインした際に一部のアプリケーションを再開できないことがあります。

2. アプリケーションサーバーファイアウォールは、Secure Global Desktop サーバーとアレイのすべてのメンバー用のアプリケーションサーバーの間のネットワークトラフィックを許可する必要があります。オープンする必要があるポートは、使用するアプリケーションのタイプによって変わります。
   • 22/tcp。SSH を使う X アプリケーションと文字型アプリケーション用です。
   • 23/tcp。telnet を使う Windows アプリケーション、X アプリケーション、および文字型アプリケーション用です。
   • 512/tcp。rexec を使う X アプリケーション用です。
   • 3389/tcp。Windows ターミナルサービスを使う Windows アプリケーション用です。
   • 6010/tcp 以上。X アプリケーション用です。オープンするポートの番号は、Secure Global Desktop サーバーがサポートする同時エミュレータセッションの数によって変わります。
3. 印刷をサポートするには、アプリケーションサーバーのファイアウォールが、すべてのアレイメンバーとアプリケーションサーバーの間の 515/tcp でのネットワークトラフィックを許可する必要があります。
4. アプリケーションサーバーファイアウォールは、3144/tcp ポート、5307/tcp ポート、および 5427/tcp ポートに対する接続を拒否します。これらのポートはアプリケーションサーバーとの間のネットワークトラフィックには使用されません。
5. ファイアウォールの内側と外側で、システムに異なる名前を付けることができます。Secure Global Desktop アレイのメンバーごとに、次の手順を行ないます。
   1. Secure Global Desktop ファイアウォールの内側で Secure Global Desktop ホストに使用する DNS 名と、Secure Global Desktop ファイアウォールの外側で Secure Global Desktop ホストに使用する DNS 名を特定します。同じ名前のことがあります。
   2. Web サーバーを設定して、Secure Global Desktop ファイアウォールの内側で使用する DNS 名にバインドします。これは、Web サーバーが起動時にバインドする DNS 名です。詳細については、使用している Web サーバーのマニュアルを参照してください。
   3. Secure Global Desktop サーバーを、Secure Global Desktop ファイアウォールの外側で使用する名前を使って設定します。これは、クライアントデバイスが Web サーバーに接続する際に使用する DNS 名です。この名前は、Array Manager を使って、アレイのメンバーの「General」プロパティーに設定します。

次の手順

• Secure Global Desktop はプロキシサーバーとともに使用する必要もあります。

Copyright © 1997-2006 Sun Microsystems, Inc. All rights reserved.