Endpoint Central オンプレミス版 ナレッジベース

セキュアゲートウェイサーバーの利用方法


セキュアゲートウェイサーバーの利用方法

セキュアゲートウェイサーバーの概要 | セキュアゲートウェイサーバーのシステム要件 | セキュアゲートウェイサーバーの利用手順 | セキュアゲートウェイサーバーのアップグレード

セキュアゲートウェイサーバーの概要

セキュアゲートウェイサーバーは、インターネット回線経由でモバイルデバイスや遠隔拠点の端末(=支社や営業所などの「リモートオフィス」)、リモートワーク端末(=「ローミングユーザー」)等を管理する際に、セキュリティを強化するためのサーバーです。

インターネット回線経由でコンピューター/モバイルデバイスを管理する場合、インターネット側からDesktop Centralサーバーへのアクセスを可能にする必要があります。しかしDesktop Centralサーバー自体をDMZに設置し、公開するにはセキュリティ上のリスクが伴うため、Desktop Centralサーバーと各エージェント間の中継サーバーとして機能するセキュアゲートウェイサーバーを代わりにDMZに設置し、公開します。セキュアゲートウェイサーバーの利用により、Desktop Centralサーバーをインターネットに直接公開せずに済むため、多くのリスクや脅威から保護できます。

セキュアゲートウェイサーバーのイメージ図は以下の通りです。

Desktop Centralサーバーで社内端末/社外端末双方を管理する場合のIPアドレスの設定について
セキュアゲートウェイサーバーのグローバルIPアドレスで名前解決されるFQDNと同じFQDNを、Desktop Centralサーバーが設置されているネット―ワークの内部向けDNSにおいて、Desktop CentralサーバーのプライベートIPアドレスに割り当てられるようにします。
例えば、FQDNが「dc.example.com」の場合、このFQDNをセキュアゲートウェイサーバーとDesktop CentralサーバーのIPアドレスの両方に割り当てる必要があります。この割り当てにより、ローミングユーザーのコンピューターにインストールされているWANエージェントはセキュアゲートウェイサーバー(インターネットを利用)を経由してDesktop Centralサーバーにアクセスできます。またLANネットワーク内のコンピューターにインストールされているLANエージェントは、Desktop Centralサーバーに直接アクセスできます。
リバースプロキシ
セキュアゲートウェイサーバーは、Desktop Centralサーバーへの通信を中継するリバースプロキシサーバーです。セキュアゲートウェイサーバーは、インターネットに接続された管理対象からの通信を受信できるよう、インターネット側に公開する必要があります。
(参考: What Is a Reverse Proxy Server? )
 
セキュアゲートウェイサーバーの動作
セキュアゲートウェイサーバーは、以下のように動作します。なお、Desktop Centralサーバーとの通信にはTCP 8383/TCP 8443ポートを使用します。

  1. Desktop Centralエージェントは、HTTPSを使用してセキュアゲートウェイサーバーとの通信を確立します。
  2. セキュアゲートウェイサーバーは、エージェントの代わりにHTTPSを使用してDesktop Centralサーバーとの通信を確立します。
  3. Desktop Centralサーバーは、セキュアゲートウェイサーバーへレスポンスを返します。
  4. セキュアゲートウェイサーバーは、Desktop Centralサーバーからのレスポンスをエージェントへ送信します。

 
無効なURLをもつ通信の遮断
セキュアゲートウェイサーバーは、有効なURLをもつリクエストのみを中継します。無効なURLによるリクエストに対しては404 Error Codeを返し、通信を遮断します。
 
リクエスト制限ポリシー
DDoS攻撃による影響を防ぐため、セキュアゲートウェイサーバーにはリクエスト制限ポリシーが設定されています。リクエスト制限ポリシーは受信トラフィックの制限とDesktop Centralサーバーへ中継されるのトラフィックの制御を行います。
 
TLSのバージョン
セキュアゲートウェイサーバーが受け取るSSL暗号スイートとTLSのバージョンは、Desktop CentralサーバーのSSL/TLS設定におけるものと同一です。この設定情報はセキュアゲートウェイサーバーの構成中にDesktop Centralサーバーによって取得されます。

 


セキュアゲートウェイサーバーの最小システム要件

こちらをご覧ください。

 


セキュアゲートウェイサーバーの利用手順

セキュアゲートウェイサーバーを利用するためには、DMZ環境などを用意した上で、以下の手順が必要です。

  • 1. Desktop Centralの設定変更
  • 2. セキュアゲートウェイサーバーのインストール・設定
セキュアゲートウェイサーバーオプションについて
セキュアゲートウェイサーバーのご利用にはオプションライセンスが必要です。詳細は製品ページの価格表をご覧ください。


セキュアゲートウェイサーバーオプションの評価について
Desktop Central評価版のご試用期間中でも、セキュアゲートウェイサーバーが利用できます。
セキュアゲートウェイサーバーオプションなしのライセンスをご購入いただいたDesktop Centralご利用中のお客様は、管理タブ > セキュリティ設定 > セキュアゲートウェイサーバー を開き、右上の「こちらをクリックしてこの機能を試してください」をクリックすることで、30日間の評価が可能です(クリックと同時に評価期間が開始されますのでご注意ください。また、評価期間終了までにセキュアゲートウェイサーバーオプションを含むライセンスを適用できない場合、期間終了後はセキュアゲートウェイサーバーが無効化されます)。

1. Desktop Centralの設定変更
  1. [管理]タブ > NAT設定 をクリックします。
  2. セキュアゲートウェイサーバーのFQDNを入力し、[保存]ボタンをクリックします。
2. セキュアゲートウェイサーバーのインストール・設定
  1. DMZ上にあるコンピューターで、こちらにアクセスします。
  2. ページ内の[Download exe]をクリックします。
  3. ダウンロードされたexeファイル(SecureGatewayServer)を実行します。
  4. [Install]ボタンをクリックします。
  5. インストール先のディレクトリを入力/選択し、[Next]ボタンをクリックします。
  6. Desktop CentralサーバーのFQDN、HTTPSポート、ユーザー名/パスワード(Desktop Centralの管理者アカウント)を入力し、[Validate]ボタンをクリックします。

    • Server Name:Desktop CentralのFQDN(IPアドレス)を入力します。
    • HTTPS Port:Desktop CentralのHTTPSポートを入力します。
    • User Name:Desktop Centralの管理者ユーザー名を入力します。
    • Password:管理者ユーザーのパスワードを入力します。
  7.  [Next]ボタンをクリックします。
  8. [Finish]ボタンをクリックします。

セキュアゲートウェイサーバーのインストールが完了し、正常に通信できている場合、以下のような画面を確認できます。


 

Desktop Centralとセキュアゲートウェイサーバーの通信ができない場合、セキュアゲートウェイサーバーがインストールされているコンピューターのTCP 8383, TCP 8443ポートの通信が許可されていることをご確認ください。また、通信状態は以下の方法で確認できます。

  1. Desktop Centralがインストールされているコンピューターにログインします。
  2. ブラウザーを起動し、アドレスバーに以下URLを入力します。

    https://<セキュアゲートウェイサーバーのプライベートIPアドレス>:8383/getstatus

ローミングユーザーの端末を管理する場合は、続いてリモートオフィスを設定し、管理対象へWANエージェントをインストールします。詳細はリモートオフィスについてをご覧ください。

 


セキュアゲートウェイサーバーのアップグレード

セキュアゲートウェイサーバーの新しいバージョンが不定期にリリースされており、セキュアゲートウェイサーバーの新バージョンリリース後にセキュアゲートウェイサーバーをアップグレードします(セキュアゲートウェイサーバーは、Desktop Centralサーバーのアップグレード時に合わせてアップグレードする必要はありません)。セキュアゲートウェイサーバーのアップグレードに関する詳細は、こちらをご覧ください。