トップ  >  趣味の部屋  >  Linux/仮想化  >  自作PC、家庭内ネットワーク(旧3:2006/12)
仮想化 linux vmwarevine

自作PC・家庭内ネットワーク update 2008/08/03

 旧ネットワーク環境は、こちら

 旧々ネットワーク環境は、こちら

1.ネットワークのポリシー

 初めて我が家のLinuxサーバーを稼動してから、早や7年。 サラリーマンから独立して会社を設立し、「それなり」のネットワークにしないといけない状況になりました。

しばらくの間は放っておいたのですが、公開サーバーのエリアレンタルしたり、自社の運営受託サイトが増えてきたりで、XOOPS化の検討を機に昨今の情報セキュリティー対策への社会的要求の高まりから、2006年12月に社内ネットワーク/公開ネットワークの大幅な構成変更を行って信頼性を高めました。

関連記事:なーお'nぶろぐ - [Linux] 双子の兄弟完成

2. 内部ネットワークと公開ネットワーク

2.1 ネットワーク構成

  1. 社内ネットワークと公開サーバーを置くネットワークとの完全分離は、会社規模の関係もありできませんが、間にブロードバンドルーターを配置することによりセグメントを分離し、通信の遮断をしています。
  2. モーションクリエイト社内PC(各社員使用)のインターネット接続に関しても、このブロードバンドルーターを経由し、念のため個人用回線側をゲートウエイとする構成となっています。
    これらの構成により、インターネット側から社内ファイルサーバーへのアクセスはできません。

2.2仮想マシン

 公開サーバーは実マシン上のVmware-Server仮想OSで運営しており、万一この仮想マシンがクラッキングされても、実マシン?内部ネットワーク侵略に及ぶまでの時間が稼げるため、緊急対応により最小限の被害で抑えることができます。

2.3実マシン


・PC1(公開サーバー用:上側写真の左側)
ケース (Antec)SOLO W/O PSU 
マザーボード GIGABYTE:GA-8IG1000Pro-G:05年4月購入
CPU (Intel) Pentium4-2.8GHz/Bulk-sock478
CPUクーラー (Schythe) Infinity SCINF-1000
ATX電源  (Schythe)  GOURIKI 450A
メモリ (IODATA) DR400 512MB(PC3200 ) x2枚組
HDD (Seagate) ST381021A 160GB: x2
CD-R drive (Logitec)LCW-RW7424AK:5年前の流用品


・PC2(内部サーバー用:下側写真の左側)
ケース (Antec)P150(430W-ATX高効率電源付)
マザーボード ASUS M2NPV-VM   (MicroATX,AMD-64X2対応)
オンボードグラフィック、オーンボードGbLAN
CPU  AMD Athron64 X2(DualCore) 3800+ SocketAM2 (65W)
CPUクーラー  (Schythe) ANDY SAMURAI MASTER SCASM-1000
 メモリ  ノーブランド DDR2_800-1GBx2
 HDD (Seagate) ST3320620AS 320GB-SATA x2
(日立IBM) HDT722525DLA380 (250G SATAII 7200)  x2 (仮想側LinuxでSoftware-Raid1)
 DVDdrive  IODATA DVR-AN18GLB
 Audioデバイス  ONKYO SE-90PCI (旧PCから移植)
(Lilith + Asio4ALL →光出力)

・その他
・ホーム用BBルーター:(Buffalo) BBR-4HG

2.4 公開サーバーのサービス

  1. 公開中のサービスとポート
    公開サーバーでは、主に以下のサービスとポート開放をしています。
    攻撃対象に成りやすいポート(telnetやsshなど)は閉じてあります。
    • WEBサービス
    • FTPサービス(SSL暗号化)
    • smtp、popメールサービス(SSL暗号化)
    • DNS
  2. 各サービス
    1. 自社運営のWEBサービスでは、必要に応じてSSL接続を行い、成りすましなどによるサイトの乗っ取りや通信傍受などに対処します。 また、掲示 板等でのHTML記述を基本的に禁止し、クロスサイトスクリプティングへの予防処置とます。 各サイトにDoS攻撃などに対処するソフトを使用し、クラッ キングからの防御を図ります。
    2.  FTPサービスでは、SSL/TLS暗号化を必須としており、通信の暗号化により成りすましなどによるサイトの乗っ取りを予防します。
    3.  メールサービスでは、popサーバー接続にSSL暗号化(任意)を選択し、通信傍受などに対して情報の漏洩を予防します。

2.3 内部ネットワークの無線LAN


利便性の面から無線LANを使用しています。(上記構成図にはありませんが、BBルーターの内部側セグメント)  接続にはWEPキーによる暗号化を使用し、不特定他者の接続は不許可とし、セキュリティーを確保しています。

プリンタ用画面
投票数:139 平均点:6.98
前
自作PC、家庭内ネットワーク(旧5:2011/02)
カテゴリートップ
Linux/仮想化
次
自作PC、家庭内ネットワーク(旧2:2004/01)

新しくコメントをつける

題名
ゲスト名
投稿本文
より詳細なコメント入力フォームへ