(株)ネットワールド 社内導⼊事例にみる 最適な無線環境とは・・・ 社内の無線環境をFortiAPにリプレース ゲストへの無線サービスを新たに提供し セキュリティの向上も同時に実現 快適な無線LAN環境に向けて ネットワールドの社内無線LANは 今まで他社のAPとコントローラ を利⽤していましたが、単に無線 サービスを提供することしか出来 ないため、いくつかの課題があり ました。 これらの課題に対してFortiGate とFortiAPで解決することになり ますが、具体的な構成は後述し て、まずは現状のご説明から始 めて⾏くことにしましょう。 社内無線LANの現状 ・承認した端末のMACアドレスを、情シス部⾨が 1つ1つホワイトリストでコントローラーへ登録している ・APはIEEE802.11a/g対応で、通信速度が遅い。 無線LANとセキュリティの統合管理 FortiAP導⼊前のネットワーク構成 が図1です。 まず社内の無線環境を利⽤するに は、無線端末から他社APにアクセ スして社内LANに接続します。 このとき、他社APはブリッジモー ドで接続されているため、流れて いるパケットは宛先に関係無く、 社内LANの中を⾃由に流れます。 つまり、他社APでは無線サービス のアクセス制御やセキュリティ対 策は実施されていません。 また無線端末情報を、情報システ ム部⾨が1つ1つホワイトリスト でコントローラに設定しています。 さらに、ネットワークの構成を変 更したい場合は、周辺NWの設定 を変更しなければならず、容易に 設定変更することが出来ません。 株式会社ネットワールド 1990年8⽉設⽴ UTM市場トップシェアを誇るFortiGateやFortiAPだけでなく、 VMwareやEMC等の製品も扱うソリューションディストリビュータ 売上⾼597億円(2013年12⽉) 社員数390名 東京本社、⼤阪⽀店、名古屋⽀店、福岡⽀店 http://www.networld.co.jp セキュリティ⾯においても、万全 な状況とはいえず、さらなるセ キュリティ対策が必要な状況でし た。 導⼊製品 図1 FortiGate-240D Fortinet社製のUTM製品。 独⾃開発されたASICである最新のコンテンツプロセッサ (CP)を搭載しており、セキュリティスキャンを⾼速化 [email protected] FortiAP-221B Fortinet社製のThin Access Point製品 IEEE802.11a/b/g/n対応 後継機種の「221C」では、ギガビットに達する新規格 IEEE802.11acに対応する予定 図2 他拠点のAPも本社で⼀元管理 FortiGateがあればコントローラ不要 そこで現在使⽤しているFortiGateと同じ Fortinet製品のFortiAPを導⼊し、⼀⻫にAPのリ プレースを図りました。 弊社では、既にFortiGateを導⼊しているため、 余分にコントローラを買う必要もなく、初期導⼊ 費⽤が抑えられた点もメリットの⼀つです。 設定がシンプルで楽に導⼊できるのもFortiAPの特徴で、 トンネルモードの場合には無線LANトラフィックをNATさせ ることが可能です。つまり、無線セグメントに対するルーティ ングを新たに設定する必要がありません。 既存NWの設計や環境を変えることなく、すぐに導⼊が可 能になるのもFortiAPとFortiGateの組み合わせにおける 特徴です。 このFortiAPによる最⼤のメリットは、無線ユー ザにも有線と同様のUTM機能やFW機能を適⽤ できる点です。 無線端末からのアクセスはFortiAPを介した後、 全てのアクセスが⼀旦FortiGateに集まります。 そのため、FortiGateで⼀元管理が可能になると 同時に、FortiGateのUTM機能やFW機能をその 配下のAPにもSSIDごとに適⽤することが出来ま す。 弊社では、ゲスト⽤と社員⽤でSSIDを分けて管 理していますが、使⽤⽤途によっては、部署ご とにポリシーを設定し、営業部には IPS,AntiVirus、技術部にはIPS,AntiVrusに加え もAntiSpamを適⽤するといったことも可能です。 IEやOpenSSL問題にも即座に対応 弊社では無線トラフィックにもAntiVirusとIPSを適⽤して おり、IEやOpenSSLの脆弱性に対してFortiGateのシ グネチャで迅速に対応しました。 OpenSSLの対策が完了していないサーバーへアクセスし てしまった場合の、クライアント側の保護も可能になってい ます。 forti‐[email protected] 2014年 6月
© Copyright 2024 ExpyDoc