DMZ
通信サーバ 通信サーバ--11
ACM S ACM S E E
22X X
通信サーバ 通信サーバ--22
ACM S ACM S E E
22X X
負荷分散装置 負荷分散装置
クラスタ構成 クラスタ構成
社内ネットワーク
社内ネットワーク 管理サーバ管理サーバ 共有ディスク共有ディスク
送受信 送受信 データ
データ APAPデータデータ
管理DB 管理DB
証明書 証明書
通信サーバと管理サーバを分散配置 通信サーバと管理サーバを分散配置
ACM S ACM S E E
22X X
3.目的に応じた具体的構成
3 −1. ネットワーク構成A
90
セキュリティ対策
通信機能をDMZ上に置く分散配置を推奨。
•
データが隔離された社内LAN上に存在するため最もセキュリティが高い•
既存および、新規にかかわらず、インターネット接続の出入口には、ファイアウォー ルの設置と、社内LANとの間には緩衝域としてのDMZ(非武装地帯)の設置が必要 である。•
必要なHW、SWは多種多様であるが、セキュリティレベルの変更という考え方ではな く、ネットワーク規模(トラフィック)によって設置するHWの能力(キャパシティ)を決定 し、新規の設置や増設を行うという考え方が一般的。–
現在市販されているルータ等のHW(旧型の機種は確認が必要)は、安価なものであっても すでにDMZ構築に必要な機能を持っていることが多い。–
サイバーアタック検知機能、ファイアウォール機能、SSLサーバ機能、VPN機能、DHCP機 能、といったネットワーク構築に必要な機能が一筐体のHWに全て組み込まれたものが主 流となっているので、これを導入するのが一般的。※ただし、セキュリティ対策はあくまで該当企業のポリシーに従うものとする。
3−1.ネットワーク構成
A
3.目的に応じた具体的構成
インターネット環境 既存の環境を流用
•
ただし、ネットワーク規模(トラフィック)によっては、増設あるいは、新規の回線設置 が必要。新規の環境
•
回線の信頼性を考慮した選択が必要。–
よりクリティカルな環境においては、バックアップの目的で二本以上の回線を異なる回線プ ロバイダと契約し、回線の二重化を推奨。(回線プロバイダの責任において、回線トラブル 時の切り替えなどを行うサービスもあるので契約時に確認。)–
回線品質をある程度保証する法人向けインターネット回線もあるが、高額となる。–
最終的にはコストとリスクに配慮し、各社の事情に見合うものを選択することになる。3−1.ネットワーク構成
A
3.目的に応じた具体的構成
92
サイジング
下記は比較的低スペックなマシンで測定したACMS E
2XでのebXML(流通BMS) プロトコル通信の測定である
−
172.6s 138.5s 86.3s 40.6s
平均−
16.1s 16.4s 7.0s 4.2s
平均処理時間 通信時間