2009-12-07

Microsoft Forefront Threat Management Gateway

Panda Managed Office Protection は Proxy Server が使えるらしので、 Microsoft の Proxy Server 製品を探してみた。 かつては文字どおりの Microsoft Proxy Server という製品があったが、その後継が Microsoft Internet Security & Acceleration Server となり、最新版はこの11月に Microsoft Forefront Threat Management Gateway(TMG) として、リリースされた。

ところが、このTMG、日本語ではβ版のレビューとかの記事がほとんど見当たらない。 MSのサイトからは評価版のダウンロードはできるけど、説明はほんの少しあるだけ。 しかも、 Proxy の説明は全然なし。(以下、MSサイトから引用)

【主要な利点】

多様な種類の脅威から保護
  • ネットワーク レイヤーに対する攻撃保護
  • 統合されたマルウェア対策およびウイルス対策
  • アプリケーション レイヤーへの侵入の防止
高度にセキュリティで保護された接続
  • Web アプリケーションのよる攻撃からの Web ユーザーの保護
  • リモート ユーザー向け、高度にセキュリティで保護されたアプリケーションの公開
  • サイト間およびリモート ユーザーに対する VPN 管理
シンプルな管理
  • 一元化されたネットワークのセキュリティ管理
  • 使いやすいウィザード
  • 統合された電子メールのセキュリティ管理
--------------------------- 以上、引用終わり ---------------------------

Proxy のことは一言も書いてない(もしかして、Proxy機能は無いの?)し、MSを含む業界はあんまやる気無いっぽい。

2009-11-30

SonicWALL NSA E-Class セミナー(2009/11/27)

 SonicWALL NSA E-Class テクニカルセミナーに参加してきました。
 NSA E-Class は SonicWALL 製品でも上位クラスに属する製品群で、搭載されている CPU コア数が最大 16 というだけあって、ファイアウォール と UTM を同時に有効にしても平均 1 Gbps 以上のスピードを保持できるという優れものです(ちなみに CPU が 1 個の廉価版 TZ シリーズで出せるパフォーマンスはせいぜい 50Mbps なので、その差は歴然です)。

 NSA E-Class と TZ シリーズとの大きな違いといえば、上記で述べたマルチコア構成の他に RFDPI (Reassembly Free Deep Packet Inspection) があります。
 SonicWALL に送られてきたパケットを SonicWALL 内部で一度開梱して、それをもう一度再構築して LAN に送るというのが従来の方式ですが、この再構築プロセスによって処理速度が低下してしまうのがネックとなっています。これを解決させたのが RFDPI で、パケットを開梱せずにスキャンを行う分、速度低下が発生しないようになっています。また、従来の方法では開梱したパケットを一時的にメモリに蓄えられるため、ファイルサイズが大きければそれだけメモリを消費することになり、大量のデータを一度に扱う場合はそれだけ処理速度の低下が発生したり、ファイルサイズが大きすぎるために処理不能と判断されドロップされる可能性がありますが、RFDPI なら開梱を行わずにスキャンを行うため、ファイルサイズによって処理速度が左右されることがありません。

参考:SonicWALL NSA E-Classシリーズ概要と構成例

SonicOS 5.0 以降の基本機能について

  1. Layer 2 ブリッジモード
     ネットワーク構成を変えずに、ゲートウェイアンチウィルスやIPS機能を提供

  2. アプリケーションファイアウォール
     アプリケーション別にアクセス制限をかける

  3. Active-Passive ステートシンク フェイルオーバー
     セッション情報の常時同期を行い、ハードウェア障害時にセッション情報を予備のハードウェアに引き継ぐ。

  4. パケットキャプチャ
     パケットダンプ、HTML/CAP 形式でのパケット情報出力

  5. シングルサインオン
     Microsoft Active Directory にログインするだけで SonicWALL 環境へのアクセスログインを可能に


参考:SonicWALL NSA E-Class シリーズ

SonicWALL による HA (High Availability 高可用性)構成
 現用系と予備系の SonicWALL ユニットを配置し、障害時に予備系の SonicWALL にパケット送信が切り替わるようにする構成方法です。E-Class では障害復旧時にどちらの機器に優先的にパケットを流すかも設定可能です。

構成例:Tokyo FM における HA 構成

Global Management System
 Global Management System をインストールすることにより、セキュリティポリシー一括適応、全ユニットの集中管理/監視、ライセンスの集中管理、リモート管理を可能にし、管理コスト削減を実現します。

参考リンク:
SonicWALL NSAシリーズ 価格体系
Macnica Networks

SonicWALL E-Class シリーズ紹介ビデオ(英語)
(今回の東京での講習内容がほぼ網羅されています。)

04:34 Re-Assenbly Free Inspection 解説
05:06 マルチコアデザイン解説
06:15 Active-Passive ステートシンク フェイルオーバー解説
07:10 Layer 2 ブリッジモード解説
07:19 Wireless スイッチモード解説

2009-11-02

FileMaker Pro 5/5.5/6 でファイル名を指定して PDF 形式で印刷を実行する方法

 FileMaker Pro 7 以降では、「レコードの保存/送信」を使うことによってレコードを PDF 形式で保存できるようになっていますが、それより前のバージョンでは別途 PDF ドライバを入手して印刷コマンドから PDF 保存をする必要があります。

 今回は、FileMaker Pro 5/5.5/6 を使って PDF 形式ファイルを自動作成し、そのファイルに独自の名前を付ける方法について説明します。

【用意するもの】
1. PDF ドライバ
 プリンタドライバと同様、PDF ドライバと FileMaker Pro の相性が合わないことも考えられますので、デモ版や無料版が利用可能であれば、それを利用することをお勧めします。

 実験で FileMaker との相性がいまいち合わなかったドライバ
 Primo PDF --- 自動化の際にユーザダイアログが必ず表示されてしまうので、連続実行には不向き。
 瞬簡PDF3 --- 処理の連続実行、大量処理時に FileMaker Pro がクラッシュする。

 当方のテストで比較的安定したパフォーマンスを記録したのは、PDFCreator だったので、今回は PDFCreator を使います。
PDF Creator の詳細とダウンロードはこちら

 ただし、FileMaker 側でループによるバッチ処理で PDF 作成を行うと、サイズの比較的大きいファイルを処理中に次のループが回ってしまうという現象が起こり、それによってデータの一部が欠けた PDF ファイルが作成されてしまうことがあります。
 FileMaker 側でループ待ち時間を調整することでこういったデータ欠損のあるファイルが発生することを回避することはある程度できますが、それでも FileMaker Pro とプログラム連携をさせる時点で 100% 安定したパフォーマンスが得られるわけではないことは念頭に入れておくと良いでしょう。

2. PetaExecute プラグイン
 MS-DOS コマンドを実行したときの戻り値をこのプラグインで取得します。
 PetaExecute の情報およびダウンロードはこちら

【操作手順】
1. PDFCreator をインストールし、Options 画面の Auto-save 画面で次のように設定を行います。



1) [Use Auto-save]にチェックを付けます。
2) [Filename]に任意の一時ファイル名を英字で入力します。この名前は FileMaker 側でも同じものを指定する必要がありますので、分かりやすいものがよいでしょう。
3) [Use this directory for auto-save]にチェックを付け、その下のボックスにファイルの保存先を指定します。この保存先のパス名も FileMaker 側で指定する必要があります。

2. PetaExecute プラグインを FileMaker Pro のインストールディレクトリ配下の System フォルダにコピーし、FileMaker Pro を起動してこのプラグインが有効になっていることを確認します。


 処理の流れはざっとこんな感じです。
1) 印刷実行。
2) 1) で PDF ドライバを選択した場合は、一時ファイルを所定の名前に変更(この例では PDF_本日の年月日.pdf)。

 特に留意していただきたいのは、一時ファイルが作成されるのに多少の時間がかかるため、一時ファイルがディスクに書き込まれていない段階でファイル名変更コマンド(ren コマンド)が実行されるとファイル名変更が失敗する可能性があります。
 このため、一時ファイルが作成されるまで、ファイルメーカー内で待ち時間ループを設ける必要があります。

 本操作を確認、実行するためのファイル群を用意しましたので、興味のある方はここからダウンロードしてお試しください。
PDFサンプル

【MS-DOS コマンドによる実行方法】
 PetaExecute と MS-DOS コマンドの組み合わせにより、PDF ファイルを任意の名前で変更します。
 当方で動作検証を行った結果、大量バッチ処理で安定した運用が可能であることを確認したため、基本的にはこちらの方法をお勧めします。

1. サンプルファイル PDFtest.fp5 を開き、FileMaker 環境設定のプラグインで PetaExecute にチェックが付いていることを確認します。

2. PDFCreator の一時ファイル名とファイルの保存先を FileMaker 側にも指定します。
(画面下部の[VBSファイルパス]はここでは使いません。)


3. “日記へ”ボタンをクリックして日記内容を入力し、“印刷”ボタンを押し、プリンタとして PDFCreator ドライバを選択して印刷します。
4. 1. で指定したファイルの保存先ディレクトリに PDF ファイルが作成されていれば成功です。

 このスクリプトの仕組みは、スクリプトメニューより「日記印刷_DOS」を開いて参照してください。

【VBScript による実行方法】
 前述の MS-DOS コマンドによる実行方法と比べるとバッチ処理の安定性が低下する可能性がありますが、VBScript の方が MS-DOS コマンドより細やかなファイル操作が可能ですので、ファイルシステムの詳細設定を兼ねながらファイル操作を行いたい場合にはこちらの方法が適していると言えます。
 今回のサンプルスクリプトでは、実行結果が MS-DOS コマンドによる方法と同様になるように VBScript を組んであります。ただ一箇所異なる点は、既存ファイルのバックアップ機能が用意されている点です。

1. サンプルファイル PDFtest.fp5 を開き、FileMaker 環境設定のプラグインで Local Data Access コンパニオンと PetaExecute にチェックが付いていることを確認します。
(VBScript でエラーが発生した場合に、FileMaker にエラーを返すために Local Data Access コンパニオンを有効にしておく必要があります。)

2. PDFCreator の一時ファイル名とファイルの保存先を FileMaker 側にも指定します。
[VBSファイルパス]には、今回の記事で配布しているサンプルアーカイブに用意されている PDFrename.vbs ファイルを格納するディレクトリを指定します。


3. “日記へ”ボタンをクリックして日記内容を入力し、“印刷VBS”ボタンを押し、プリンタとして PDFCreator ドライバを選択して印刷します。
4. 1. で指定したファイルの保存先ディレクトリに PDF ファイルが作成されていれば成功です

 このスクリプトの仕組みは、スクリプトメニューより「日記印刷_VBS」を開いて参照してください。