Secure Gateway 管理者ガイド

4.2.1 ^概要

Ericom Secure Gateway は、RDPホスト(仮想デスクトップ、ターミナル・サーバなど)をはじめとする 内部ネットワーク・リソースへのセキュアなリモート・アクセスを、エンド・ユーザに提供します。 Secure Gatewayには、以下の利点があります:

• セキュリティで保護された、単一ポートでの内部リソースへのアクセスが可能

• Ericomクライアント用のVPNの購入、インストール、設定、管理が不要

• その他のリソースを内部ファイアウォールの後方に配置したまま、Ericom Secure GatewayをDMZ にインストール可能

• Ericom Secure Gateway に一度だけ証明書のインストールが必要となり、アクセスする必要があるす

べてのホストへの証明書のインストールは不要

• TLS 1.2 準拠

• Ericom Blaze 2.x以降に対応

• Ericom PowerTerm WebConnect 5.8.0以降に対応

• Ericom AccessNowâĎć HTML5クライアントに対応

• Ericom AccessToGoâĎć 1.4以降に対応

アーキテクチャ

Ericom Secure Gateway は、リモート環境のエンド・ユーザとデータセンターのアプリケーションやデ

スクトップ間のゲートウェイとして機能します。インターネットと LAN の間のトラフィックをルーティ ングする DMZ にインストールすることも可能です。VMware View 用に Ericom Blaze を使用する場合 VMware View Security Server の代わりとして Ericom Secure Gateway が使用されます。以下の図は、

Secure Gatewayにより1つのポートのみを介したセキュアなリモート・アクセスが可能となる仕組みを示し

ています。Webトラフィック、コネクション・ブローカー通信、セッション・プロトコルに関連するすべて の通信は、SSLベースのSecure Gateway接続を通してトンネル接続されます。

注意:

負荷分散機能は有効化されていません。ESG を介した負荷分散ターミナル・サーバの詳細につい ては、

Ericom の営業担当者までお問い合わせください。

4.2.2 ^{インストール}

前提条件

Windows 2008R2以降でEricom Secure Gatewayを実行する必要があります。

• 2008R2 では、TLS 1.0 のサポートが必須です。

• 2016、2019ではTLS 1.1および1.2がサポートされています。

.NET Framework 4.6.2のフル・インストールが必要です- MicrosoftのWebサイトからダウンロードでき ます。

Ericom Secure Gatewayにより、デフォルトでポート443 が使用されます。このポートはIISでも使用され る一般的なポートのため、ポートの競合に注意してください。ネットワーク上で以下のポートを設定する必要 があります:

• インターネットとSecure Gatewayサーバ間に、ポート 443が必要です。この値は調整可能です。

• RDPアクセス用: Secure GatewayサーバとRDPホスト間に、ポート3389が必要です。この値は調 整可能です。

• Ericom Blaze用: Secure GatewayサーバとEricom Blazeサーバを実行するRDPホスト間に、ポー ト3399が必要です。

• Ericom AccessNow 用: Secure GatewayとAccessNowサーバ間に、ポート 8080が必要です。この 値は調整可能です。

• PowerTerm WebConnect用: Secure GatewayとPowerTermWebConnectサーバ間に、ポート4000 が必要です。この値は調整可能です。使用するプロトコル(RDP、Blaze、AccessNow)により、上記 のポートの1 つまたは複数がSecure GatewayとRDPホスト間で必要になります。

• VMware View用: Secure GatewayとVMware Viewブローカー間に、ポート443が必要です。

エンド・ユーザとRDPホスト間のセッション通信には、ホスト上でRDPアクセスを有効化する必要があり ます。RDPホストのローカル・ファイアウォールでRDPポート(3389)が開放されていることを確認して ください。Secure Gateway はHTTP プロキシを備えており、デフォルトでポート80 をリッスンします。

これは、インストール後に無効にできます。

Secure Gateway のインストール

Secure Gatewayをインストールするには、Windows 7 SP1、8、2008R2 SP1、2012R2、または 2016を実 行中のサーバでインストーラ(Ericom Secure Gateway Server.msi)を起動します。一部のシステムでは、イ ンストールの実行に承認が必要となる場合があります。Nextをクリックし、License Agreement(使用許諾契 約)に同意し、Install をクリックしてインストールを実行します。

Setup Typeの選択画面が表示された場合、以下のいずれかを選択します:

• Complete - Ericom AccessNow や Blaze スタンドアロン(AccessNow for Citrix とAccessNow for Quest vWorkspaceを含む)とともにSecure Gateway を使用する場合、この設定を選択します。上記 のスタンドアロン製品群のいずれかと併用してPowerTerm WebConnect やVMware View を使用す る場合、この設定を使用します。

• Custom - Ericom Secure Gateway または 認証サーバのみをインストールするには、このオプション を選択します。PowerTerm WebConnectまたはVMwareViewのみを使用する場合、認証を処理する ブローカーとして認証サーバをインストールする必要はありません。

Secure Gateway ^の設定

プロンプトが表示されたら、Secure Gatewayでリッスンする必要のあるポートを入力します。デフォルトで は、ポートは443となります。Secure Gatewayは、HTTPSを使用して特定のポートを介して動作するビル トインのWeb サーバを備えています。Enable HTTPS auto-redirect on port 80 の設定をオンにすること で、Secure GatewayによりHTTP Webリクエストが自動的にHTTPS にリダイレクトされます。

注意:

同一サーバで IIS を実行している場合、ポートの競合がないことを確認してください。IIS ^の ポートを 80 ^と

443 以外の値に変更するか、Secure Gateway のポートを443 以外に変更し、インストール後 に HTTP

自動リダイレクト機能を無効にしてください。HTTP または HTTPS いずれかのポートで競合が 発生した場合、

以下の警告が表示されます:

マシンにインストール済みの信頼された証明書を使用するには、Select Certificate をクリックし、Secure

Gatewayで使用する証明書を選択します。信頼された証明書は、インストール後に設定することも可能です。

認証サーバの設定

次のダイアログAuthentication Server Configurationでは、使用する認証サーバを指定します

注意:

認証サーバは、認証するドメインのメンバーとする必要があります。セキュリティ上のベスト・

プラクティスとして、

一部のネットワーク上では、DMZ ^ではなく LAN 上に認証サーバをインストールする必要があり ます。

• このサーバを新しい認証サーバとして動作させるには、localを選択します。

• 既に使用している認証サーバが存在する場合、Remote Authentication Serverを選択し、アドレスと ポートを指定します。

• PowerTerm WebConnectまたは VMware Viewを使用し、スタンドアロン・クライアント・アクセ スが必要ない場合、No authentication requiredを選択します。

注意:

認証サーバはデフォルトでポート 444 をリッスンするため、このポートが ネットワークと␣

,→Windows

ファイアウォール上で有効化されていることを確認してください。

コネクション・ブローカーの設定

コネクション・ブローカー・ダイアログを使用して、対応するコネクション・ブローカー (PowerTerm

WebConnect または VMware View)とともに動作するように ESG を設定することができます。 設定す

るブローカーを選択します。ブローカーを使用しない場合、No connection broker in use を選択します。

PowerTerm WebConnectとVMware Viewの両方を使用する場合、インストール後に設定を行う必要があ ります。

コネクション・ブローカーを使用中の場合、Only allow connections from a connection brokerを有効にする ことを強くお勧めします。スタンドアロン・クライアントからのすべての接続は拒否され、Secure Gateway を使用して接続が試行されます。

PowerTerm WebConnect ^の設定

PowerTerm WebConnectサーバ情報が表示されたら、PowerTerm WebConnectと、そのWebページをホ ストしているWeb サーバのアドレスを入力します。そのアドレスはEricom Secure Gateway サーバからア クセス可能であることが必要です(ping.exe telnet.exeを使用して接続を確認します)。

VMware View ^の設定

VMware Viewサーバ情報が表示されたら、ブローカー・サーバのアドレスを入力します。そのアドレスは

Ericom Secure Gatewayサーバからアクセス可能であることが必要です(ping.exe telnet.exe を使用して接 続を確認します)。

インストールを完了する

設定データを入力した後、Nextをクリックしてインストールを続行します。インストールの最後でFinishを クリックします。Ericom Secure Gatewayはサービスとして実行され、Windowsサービス・マネージャから 停止や再起動できます。

このサービスはシステム起動時に自動的に実行されるよう設定されています。サービスが停止された場合また は設定したポートのリッスンができない場合、クライアントはゲートウェイを介してホストに接続できなくな ります。設定したポートがサービスによりリッスンできない場合、Windowsアプリケーション・イベント・

ログにエラー・メッセージが出力されます。すべての設定は、Webベースの管理コンソールを使用して変更 するか、EricomSecureGateway.exe.Configファイルを編集して変更できます。

注意:

主に PowerTerm WebConnect ^または VMware View ^用に ESG ^{を使用する場合、}Web ^ベース のコンソールに移動し、

Web Server タブの デフォルト フォルダ に目的の製品を設定します。

Ericom Secure Gateway をアンインストールする

Ericom Secure Gateway のアンインストールには、コントロールパネルの「プログラムの追加と削除」また

は「プログラムと機能」を使用します。Ericom Secure Gatewayを選択し、アンインストール をクリックし ます。

4.2.3  Configuration Portal

Ericom Secure Gateway(ESG)は、管理者が関連する設定変更を実行できるConfiguration Portal を備え ています。これらの設定の大部分は、インストール・プロセス中に設定したものです。Configuration Portal ページにアクセスするには、Webブラウザを使用してSecure Gatewayの設定 URLに移動します: https://<ESGサーバのアドレス>:<ポート番号>/admin

ESG サーバ上のローカル Administrators グループのメンバーであるいずれかのユーザでログインします。

すべてのログインは、Ericom Secure Gateway のログ・ファイルにて監査されます。セキュリティで保護さ れたアクセスを確実にするために、強固なパスワードを使用することを管理者に注意喚起してください。

Configuration Portalからログアウトするには、Logoutボタンを押します。

設定を変更した場合、Save ボタンを押します。Saveボタンを押さずに違うページを選択した場合、警告ダイ アログが表示されます。変更をキャンセルして続行する場合には、Leave this Pageをクリックします。現在 のページに戻り変更を保存するには、Stay on this pageをクリックします。