| ■30698 / ) |
Re[2]: ClickOnce配布アプリのFW例外設定について |
□投稿者/ れい (823回)-(2009/01/03(Sat) 08:45:38)
|
■No30689 (ちゃっぴ さん) に返信
> これ server 側の port ですね。
> Client の source port はそもそも任意の high port 利用するので FTP と同様 static な設定は無理でしょう。
これは…
■No30688 (SCP太郎 さん) に返信
> @使用するポートが不定なのでポート番号を指定してFW例外設定ができない
とあるので、
クライアント側の発信ポートも、サーバー側の着信ポートも動的なので、例外設定できないという話かと思います。
(片方が固定なら例外設定できるfirewallを使っているのでしょう。きっと。)
■No30688 (SCP太郎 さん) に返信
> 通常このようなアプリの場合、各クライアントのFWはどのように設定
> すべきなのでしょうか?
この手のセキュリティ関連の話は、環境だとか状況だとか時代によって変わるので、「通常」という概念が殆ど意味を持ちません。
SCP太郎 さんの状況を私の常識で勝手に補うなら、私は以下のように判断します。
まず、普通はCよりもSの方が重要度が高いので、当然Sの方が厳しいセキュリティにおかれるべきです。
当然Sが侵される確率はCより低いはずですので、「CをSから守る」必要性は殆どありません。
Cは恐らく不特定多数へアクセスできる状況(≒the internetが見える)になってるでしょうから、
「Cを外部(=不特定多数)から守る」必要性はあります。
なので、Cのファイアーウォールは
・外部からのアクセスは厳しくフィルタ
・サーバーからのアクセスは許可
とするのが自然です。
「特定IPからのInbound通信を許可」できればいいわけです。
VistaのWindows Firewallはこれを行うことが出来ます。
XPのFirewallは無理だったと思いますが、
他社製のfirewallなら、殆どの物が可能であろうと思います。
Cが5〜6台を超えるようなC/Sシステムの場合、
今時のfirewallのコスト・セキュリティ意識を考えると、
XPなクライアントには他社製firewallを導入します。
Cがそれ以下なら適当に誤魔化します。
DTCのポート指定は意味ないのでやらないほうがいいでしょう。
|
|
