セキュアゲートウェイサーバーの利用方法
作成日:2020年1月9日 | 更新日:2021年2月5日
セキュアゲートウェイサーバーの利用方法
セキュアゲートウェイサーバーの概要 | セキュアゲートウェイサーバーのシステム要件 | セキュアゲートウェイサーバーの利用手順 | セキュアゲートウェイサーバーのアップグレード
セキュアゲートウェイサーバーの概要
セキュアゲートウェイサーバーは、インターネット回線経由でモバイルデバイスや遠隔拠点の端末(=支社や営業所などの「リモートオフィス」)、リモートワーク端末(=「ローミングユーザー」)等を管理する際に、セキュリティを強化するためのサーバーです。
インターネット回線経由でコンピューター/モバイルデバイスを管理する場合、インターネット側からDesktop Centralサーバーへのアクセスを可能にする必要があります。しかしDesktop Centralサーバー自体をDMZに設置し、公開するにはセキュリティ上のリスクが伴うため、Desktop Centralサーバーと各エージェント間の中継サーバーとして機能するセキュアゲートウェイサーバーを代わりにDMZに設置し、公開します。セキュアゲートウェイサーバーの利用により、Desktop Centralサーバーをインターネットに直接公開せずに済むため、多くのリスクや脅威から保護できます。
セキュアゲートウェイサーバーのグローバルIPアドレスで名前解決されるFQDNと同じFQDNを、Desktop Centralサーバーが設置されているネット―ワークの内部向けDNSにおいて、Desktop CentralサーバーのプライベートIPアドレスに割り当てられるようにします。
例えば、FQDNが「dc.example.com」の場合、このFQDNをセキュアゲートウェイサーバーとDesktop CentralサーバーのIPアドレスの両方に割り当てる必要があります。この割り当てにより、ローミングユーザーのコンピューターにインストールされているWANエージェントはセキュアゲートウェイサーバー(インターネットを利用)を経由してDesktop Centralサーバーにアクセスできます。またLANネットワーク内のコンピューターにインストールされているLANエージェントは、Desktop Centralサーバーに直接アクセスできます。
セキュアゲートウェイサーバーは、Desktop Centralサーバーへの通信を中継するリバースプロキシサーバーです。セキュアゲートウェイサーバーは、インターネットに接続された管理対象からの通信を受信できるよう、インターネット側に公開する必要があります。
(参考: What Is a Reverse Proxy Server? )
セキュアゲートウェイサーバーの動作
セキュアゲートウェイサーバーは、以下のように動作します。なお、Desktop Centralサーバーとの通信にはTCP 8383/TCP 8443ポートを使用します。
- Desktop Centralエージェントは、HTTPSを使用してセキュアゲートウェイサーバーとの通信を確立します。
- セキュアゲートウェイサーバーは、エージェントの代わりにHTTPSを使用してDesktop Centralサーバーとの通信を確立します。
- Desktop Centralサーバーは、セキュアゲートウェイサーバーへレスポンスを返します。
- セキュアゲートウェイサーバーは、Desktop Centralサーバーからのレスポンスをエージェントへ送信します。
無効なURLをもつ通信の遮断
セキュアゲートウェイサーバーは、有効なURLをもつリクエストのみを中継します。無効なURLによるリクエストに対しては404 Error Codeを返し、通信を遮断します。
リクエスト制限ポリシー
DDoS攻撃による影響を防ぐため、セキュアゲートウェイサーバーにはリクエスト制限ポリシーが設定されています。リクエスト制限ポリシーは受信トラフィックの制限とDesktop Centralサーバーへ中継されるのトラフィックの制御を行います。
TLSのバージョン
セキュアゲートウェイサーバーが受け取るSSL暗号スイートとTLSのバージョンは、Desktop CentralサーバーのSSL/TLS設定におけるものと同一です。この設定情報はセキュアゲートウェイサーバーの構成中にDesktop Centralサーバーによって取得されます。
セキュアゲートウェイサーバーの最小システム要件
こちらをご覧ください。
セキュアゲートウェイサーバーの利用手順
セキュアゲートウェイサーバーを利用するためには、DMZ環境などを用意した上で、以下の手順が必要です。
- 1. Desktop Centralの設定変更
- 2. セキュアゲートウェイサーバーのインストール・設定
セキュアゲートウェイサーバーのご利用にはオプションライセンスが必要です。詳細は製品ページの価格表をご覧ください。
セキュアゲートウェイサーバーオプションの評価について
Desktop Central評価版のご試用期間中でも、セキュアゲートウェイサーバーが利用できます。
セキュアゲートウェイサーバーオプションなしのライセンスをご購入いただいたDesktop Centralご利用中のお客様は、管理タブ > セキュリティ設定 > セキュアゲートウェイサーバー を開き、右上の「こちらをクリックしてこの機能を試してください」をクリックすることで、30日間の評価が可能です(クリックと同時に評価期間が開始されますのでご注意ください。また、評価期間終了までにセキュアゲートウェイサーバーオプションを含むライセンスを適用できない場合、期間終了後はセキュアゲートウェイサーバーが無効化されます)。
1. Desktop Centralの設定変更
2. セキュアゲートウェイサーバーのインストール・設定
- DMZ上にあるコンピューターで、こちらにアクセスします。
- ページ内の[Download exe]をクリックします。
- ダウンロードされたexeファイル(SecureGatewayServer)を実行します。
- [Install]ボタンをクリックします。
- インストール先のディレクトリを入力/選択し、[Next]ボタンをクリックします。
- Desktop CentralサーバーのFQDN、HTTPSポート、ユーザー名/パスワード(Desktop Centralの管理者アカウント)を入力し、[Validate]ボタンをクリックします。
- Server Name:Desktop CentralのFQDN(IPアドレス)を入力します。
- HTTPS Port:Desktop CentralのHTTPSポートを入力します。
- User Name:Desktop Centralの管理者ユーザー名を入力します。
- Password:管理者ユーザーのパスワードを入力します。
- [Next]ボタンをクリックします。
- [Finish]ボタンをクリックします。
セキュアゲートウェイサーバーのインストールが完了し、正常に通信できている場合、以下のような画面を確認できます。
- Desktop Centralがインストールされているコンピューターにログインします。
- ブラウザーを起動し、アドレスバーに以下URLを入力します。
https://<セキュアゲートウェイサーバーのプライベートIPアドレス>:8383/getstatus
ローミングユーザーの端末を管理する場合は、続いてリモートオフィスを設定し、管理対象へWANエージェントをインストールします。詳細はリモートオフィスについてをご覧ください。
セキュアゲートウェイサーバーのアップグレード
セキュアゲートウェイサーバーの新しいバージョンが不定期にリリースされており、セキュアゲートウェイサーバーの新バージョンリリース後にセキュアゲートウェイサーバーをアップグレードします(セキュアゲートウェイサーバーは、Desktop Centralサーバーのアップグレード時に合わせてアップグレードする必要はありません)。セキュアゲートウェイサーバーのアップグレードに関する詳細は、こちらをご覧ください。