ファイアウォールで保護されたアプリケーションのリファレンスアーキテクチャ
ファイアウォールで保護済みのアプリケーションであるAccess Gatewayアーキテクチャは、マスクされたDNSアーキテクチャを展開して、外部内部/DMZとDMZ/内部ネットワークの間にファイアウォールを追加します。
このアーキテクチャでは、アプリケーション、保護対象Webリソースの内部URLおよび外部URLは、外部DNSと分離された内部DNSサーバーを持つ異なるDNSによって提供されます。
このアーキテクチャは次の要件を満たします:
- 外部クライアントから内部URLを非表示にすることによって保護対象のWebリソースを保護します。
- ファイアウォールによって保護された未承認のリクエスト。
利点と欠点
| 利点 | 欠点 |
|---|---|
|
|
アーキテクチャ
ファイアウォールアーキテクチャでは、保護されたWebアプリケーションへの外部アクセスは、外部のネットワーク/DMZファイアウォールによって定義されます。さらに、このアプリケーションへの内部アクセスは、内部/アプリゾーンファイアウォールによって拒否されます。このアーキテクチャは、保護対象Webリソースへのすべての未承認のアクセスを効果的に防ぎます。
コンポーネント
|
ロケーション |
コンポーネント | 説明 |
|---|---|---|
| 外部インターネット | 外部URL | クライアントが、保護対象Webリソースの代わりにAccess Gatewayへのアクセスに使用する外部URL |
| DNS | 外部URLにDNS解像度を提供するDNSサーバー | |
| 外部インターネットとDMSの間 | ファイアウォール | DMZハウジングAccess Gatewayと外部インターネットを分割するファイアウォール |
| DMZ | Access Gateway | 複数のDNSサーバーを使って内部URLと外部URLを解決するDMZに配置されたAccess Gatewayクラスター。 |
| 内部インターネットとDMSの間 | ファイアウォール | DMZハウジングAccess Gatewayと内部インターネットを分割するファイアウォール |
| 内部ネットワーク | アプリゾーン | 保護対象Webリソースが収容されている内部ネットワークゾーン。 |
| アプリゾーンファイアウォール | アプリゾーンを他の内部ネットワークから隔離する内部ファイアウォール | |
| 内部DNSとURL | Access Gatewayの保護対象Webリソースを示す内部URLをサポートする内部DNSサーバー。 | |
| アプリケーション | 保護対象Webリソース(アプリケーション) |