ネットワーク環境における ネットワーク環境における ネットワーク環境における ネットワーク環境における Forms Server の配置 の配置 の配置 の配置

Forms Server機能および企業に最適なネットワーク設定タイプの決定方法について学ぶと、

ネットワークにForms Serverをインプリメントできます。次の5つの項で、ネットワーキ ング・オプションと関連するリスクについて説明します。

■ インターネットを介した配置

■ ローカル・エリア・ネットワーク(Local Area Network: LAN)上での配置

■ リモート・ダイアルアップ・アクセスによるネットワークでの配置

■ 公共回線でテレコムが提供するVPNを介したネットワークでの配置

■ インターネットでのVPNアクセスを介したネットワークでの配置

9.3.1 インターネットを介した配置 インターネットを介した配置 インターネットを介した配置 インターネットを介した配置

Forms Serverを使用すると、HTTP1.1パケットにFormsメッセージをカプセル化して、

Formsアプリケーションをインターネットに配置できます。HTTPはインターネット上にア

プリケーションを配置するために最もよく使用されるプロトコルです。

多くの企業は、HTTP通信のみ使用可にしてファイアウォールを"ロック・ダウン"するこ とで、プライベート・ネットワークのセキュリティを大幅に向上させます。ファイアウォー ルを提供している会社の多くは、その製品でHTTP標準をサポートしており、多くの企業は 保有するプライベート・ネットワークの中をHTTP通信が行きかうことを好意的に認めてい ます。HTTP通信のみ使用できるサイトでは、構成にほとんど何の変更も加えず、さらにク ライアントに対して完全に透過な状態で、既存のファイアウォールを介して簡単にForms

Serverを配置できます。

社内ネットワークを保護するために、厳格なセキュリティ・ルールが必要な場合でも、社内 ネットワーク内のファイアウォールの後ろと非武装ゾーン（DMZ）にアプリケーション・

サーバーを置くことができます。ファイアウォール内のHTTPフィルタは、VPNを使用し なくても受信トラフィックを制限するのに十分です。

また、より安全な通信を行うためには、HTTPとともにSSL (secure sockets layer)を使用で きます。SSLはプライバシー、整合性、および認証を与える転送プロトコルです。SSLは、

アプリケーション・レベルの1つ下のレベルである、転送レベルで動作します。つまり、

SSLは、HTTPなどのアプリケーション・レベルのプロトコルで処理される前に、メッセー ジを暗号化、復号化できます。

インターネット上にForms Serverを配置すると、Web上の各ユーザーおよびエクストラ ネットのカスタマは、他のネットワーク配置オプションと比べて低費用でアプリケーション を使用できるようになります。企業は、スケーラブルで、安全で洗練された新規または既存

のFormsアプリケーションをインターネット上で実行できます。

9.3.1.1 リスク リスク リスク リスク

HTTPソケット接続を使用して、インターネット上にアプリケーションを配置する場合、

ユーザーのForms Client PCのCPU要件は、等価のパフォーマンスを提供するために

Forms Serverの以前のバージョンよりも多少高くなっています。

HTTPラッパーでFormsデータを送信するとネットワーク通信量が増える可能性があり、ま たより低スピードの接続で同時に実行できるセッション数に影響を与えることがあります。

9.3.1.2 その他のインターネット配置オプション その他のインターネット配置オプション その他のインターネット配置オプション その他のインターネット配置オプション

HTTPソケット接続メソッドを使用しない場合、保護されたネットワークの外にアプリケー ション・サーバーを含むDMZを設定する他のオプションもあります。IPルータをセット アップして、DMZを保護するために、ポート80（HTTP通信）と9000（Formsリスナーの デフォルト・ポート）の宛先となるパケット以外のすべての受信パケットをブロックできま す。このアプローチを使用する場合、Forms Server Listener ポートが無防備であるというリ スクがあります。複数のForms Server Listenerを使用する場合（たとえば、複数アプリケー ションや複数言語をホストする場合）、リスクはさらに高くなります。

さらに、IPルーターは、IPルーターからDMZ内のアプリケーション・サーバーにすべての 受信トラフィックを再経路指定する、DMZ内に常駐する複数ホームのファイアウォールに よって支援する必要があります。アプリケーション・サーバーは、信頼性のある企業ネット ワーク内のデータベースに接続する必要があるので、複数ホームのファイアウォールも、す べてのNet8トラフィックを信頼性のある企業ネットワーク内のデータ・サーバーに再経路 指定する必要があります。

ローテーション・スケジュールは、異なるForms Server Listenerを異なる時間に使用して侵 入を防ぎたい場所にセットアップできますが、これでは重大なハッカーを防げません。

内部ネットワークをハッカーの進入から守るためには、複数ホームのファイアウォールと内 部ネットワーク間に追加のファイアウォールをセットアップして、IPパケットをフィルタし Net8トラフィックのみ渡すようにすることをお薦めします。

9.3.2 ローカル・エリア・ネットワーク ローカル・エリア・ネットワーク ローカル・エリア・ネットワーク ローカル・エリア・ネットワーク (Local Area Network: LAN) 上での配置 上での配置 上での配置 上での配置

FormsアプリケーションにアクセスするすべてのユーザーがLAN内に存在する場合、基本

的な内部ネットワーク・セキュリティは十分であり、Forms Serverに特別な構成をする必要 はありません。

9.3.3 リモート・ダイアルアップ・アクセスによるネットワークでの配置 リモート・ダイアルアップ・アクセスによるネットワークでの配置 リモート・ダイアルアップ・アクセスによるネットワークでの配置 リモート・ダイアルアップ・アクセスによるネットワークでの配置

一部のユーザーがLAN外または保護WAN外に存在し、ダイアル・インでFormsアプリ ケーションへアクセスする場合、リモート・アクセス・セキュリティ用に特別に設計された サーバーが必要になります。このシナリオは、オフサイトで作業している従業員や貴社の LANやWANにアクセスする必要がある信頼できるカスタマには理想的です。このソ リューションは、LANにリモートでアクセスする必要があるユーザーが1000人より多い場 合の実装には適しません。

リモート・アクセス・サーバーに登録されたユーザーが有効なユーザーです。登録されてい ないユーザーにはアクセス権がありません。リモート・アクセス・サービス（Remote

Access Service : RAS）は、Windows NTサーバーの機能の1つです。Windows NT RAS

サーバーは、このシナリオでリモート・アクセス・サーバーとして使用できます。

プライベートWANは、専用線で構築されることがよくあります。侵入者は専用線の位置と データを送信するのに使用する線の電線コードを知らなければ、侵入できません。このよう な条件下では、侵入されることはまず考えられません。

公共の電話回線を介してダイアルアップする場合は、機密データを送信時に暗号化すること をお薦めします。Windows NT RASサーバーには、Point-to-Point-Tunneling Protocol

(PPTP)がインクルードされており、PPTPは、公共の電話回線を介して通信する機密データ

を暗号化する場合に使用できます。暗号化プロトコルを備えるリモート・アクセス・サー バーを使用していない場合については、以降の項を参照ください。ネットワークでForms

Serverを構成するための、その他のより安全なオプションについて説明されています。

侵入者がリモート・アクセス・サーバーの電話番号にランダムにダイアルし、複数のユー ザー名/パスワードを組み合せてLANにログインを試みるという場合、リスクはほとんど

ありません。ただし、リモート・アクセス・サーバーは、サーバーへのアクセス方法をすで に承知している悪意のある元従業員やカスタマに対しては非常に無防備です。

この問題を回避するには、次の予防策をお薦めします。

■ 厳格なセキュリティ・レコードのメンテナンス。このメンテナンスにより、元従業員お よびカスタマのエントリがリモート・アクセス・サーバー、自動ダイアルバック装置、

およびすべての内部システムから削除されているか確認します。

■ コール側IDの検証。これは、登録されている電話番号のみがリモート・アクセス・

サーバーにアクセスできるようにする方法です。

■ 自動ダイアル・バック装置。この装置は以前に登録した電話番号を使用してコール側に コール・バックします。

9.3.4 公共回線でテレコムが提供する 公共回線でテレコムが提供する 公共回線でテレコムが提供する 公共回線でテレコムが提供する VPN を介したネットワークでの配置 を介したネットワークでの配置 を介したネットワークでの配置 を介したネットワークでの配置

前項で説明したように、従来型のWANは通常専用線で構築されています。ただし、公共の 電話回線を介してダイアルアップしている場合、ユーザー認証およびデータ送信には、より 安全なメソッドを使用されることをお薦めします。

遠距離通信プロバイダから利用できる、VPN（仮想プライベート・ネットワーク）を使用す るオプションがあります。遠距離通信プロバイダは、承認されたユーザーのリストを保持し ており、認証済みのユーザーがダイアル・インする場合はいつでもVPNを作成します。使 用しているネットワークに前項で説明したリモート・アクセス・サーバーが必要な場合は、

前項のセキュリティの利点とリスクのすべてが適用されます。（このソリューションは、

LANにリモートでアクセスする必要があるユーザーが1000人より多い場合の実装には適し ません。）

主なリスクは、サーバーへのアクセス方法をすでに知っており、VPNプロバイダの登録済 みユーザー・リスト上に存在する、悪意のある元従業員またはカスタマに対して無防備であ るということです。このリスクを回避するためには、リモート・アクセス・サーバーおよび VPNプロバイダの登録済みユーザー・リストの両方について、認証済みユーザーのリスト を最新のものにしておくことを励行してください。

9.3.5 インターネットでの インターネットでの インターネットでの インターネットでの VPN アクセスを介したネットワークでの配置 アクセスを介したネットワークでの配置 アクセスを介したネットワークでの配置 アクセスを介したネットワークでの配置

ダイアルアップ・アクセスの方法としてインターネットを使用する予定がある場合は、ユー ザー認証およびデータ送信について安全なメソッドを使用することをお薦めします。Forms

Server HTTPソケット構成、つまりHTTPS（改良済みプライバシ、整合性、および認証に

ついて安全なソケット層をもつHTTPソケット構成）を使用するオプションがあります。

HTTPソケットの詳細は、3.3項「ソケット、HTTPまたはHTTPS」を参照してください。

インターネット上でVPNを使用する別のオプションもあります。このメソッドを使用する と、データはIP（インターネット・プロトコル）パケットのフォームでインターネットを介 して転送されます。IPパケットは送信側および受信側のIPアドレスおよびビット（データ）

のグループです。