基礎事項をまとめて備忘録

・レイヤー層は問題の切り分けで便利と気付く

　　物理層：NICやLANケーブル

　　データリンク層：デフォルトゲートウェイのMACアドレス認識

　　       Ping default gw ipaddress

               No reply - Arp gw問題かスイッチか

　　ネットワーク層：ping IP , traceroute IP

　    トランスポート層：Firewallの設定

　　アプリケーション層：nslookup

・ポート番号：通信するアプリケーション指定

・NATはlocal IPとglobal IPを変換、NAPTはIPとPortで変換

              Q：アクセスする時のIPは、local IP でいいのかな。ルータ/FWで固定IPとportのみ許可にしていると、手動でルータにクライアントのIPとポートを許可しないといけないのか? LAN内であればグローバルIPに変換する必要はないのかな。

・仮想化ソフトウェアはホストOS型(VMware, Virtual BOX)とハイパーバイザー型(VSphere, XEN Server, Hyper-V)がある。当然ホストOS型だと2段OSがいるから処理が重い。

              Q:ホストOS型だとOSのライセンス2倍で費用かかるのかな。

・UNX系サーバーOSの例はLinux、AIX。Windows系サーバーOSの例はWindows Server 2008とか。

・DHCPサーバ：IPアドレスの動的割り振り用

              配布IP範囲、有効期間、デフォルトゲートウェイのIP、DNSサーバのIPを設定

              家庭用レベルならルータとかFW側のDHCP機能で事足りる。

・DNSサーバ：ドメインとIPを紐づけ。ホスト名wwwで、jpから順にツリー構造

              aaa.co.jpのサブドメインではbbb.aaa.co.jpとすればよいのかな

              キャッシュサーバーとコンテンツサーバがあって基本は冗長化

・Active Directory：管理システム増大時の管理対応

              それ以上は今の所よくわからん：https://www.lanscope.jp/tips/12638/

              とりあえずドメインコントローラというサーバとDNSを使えば管理がしやすくなる目的だけはわかった。

・NASってでかい外付けHDDじゃなくて、ファイルサーバ機能に特化したアプライアンスサーバだったんだ…ストレージにNICが付いたとはその通りだ。

・SSOサーバには、「エージェント型」「リバースプロキシ型」がある。クライアントがWebアプリケーションサーバとSSOサーバどっちと繋がるかの話か。

・プロキシサーバー：クライアントからのインターネットに対する通信を代理で行うサーバー

　Qプロキシサーバーとファイアウォールって何かちがうのか？

              http://tooljp.com/windows/chigai/html/Security/proxy-firewall-chigai.html

              プロキシサーバーの目的は内部のネットワーク構成（特にIPアドレス)を隠すためで、ファイアウォールはセキュリティ対策。不正なパケットが出入りしないように、フィルタリングする。プロキシサーバーはもともと回線帯域利用の効率化が目的だが、最近はセキュリティ機能の強化始めたから余計ややこしい。

              通信時のIPもプロキシサーバーではProxy IP。ファイアウォールではNATしない限りクライアントのIPアドレスだけど、普通グローバルIPにNATする。

・SMTPサーバーはSMTPプロトコルを用いて、＠以降のドメインをDNSに問い合わせて相手先のSMTPサーバーへたどり着く。SMTPが認証機能を持たなかった為、なりすましを防ぐため、SMTP AUTH(メール送信前のID/PW), POP before SMTP(送信前にPOP3サーバーで認証)。受信側は電源入ってないこと多いからPULL型のPOP３プロトコルおよびPOP３サーバーで取得。POP3S機能だとSSL暗号化できる。

・プライベートクラウドのメジャーどころはOpenStack 

・サービス提供開始の為には、、、

　公開サーバー用意（クラウドサービスでない限りDMZがベター。クラウドでDDoS攻撃くらうと費用が掛かる）

　オンプレの場合

• インターネット回線敷設
• 公開サーバー用にグローバルIP取得
• ドメイン名申請して買う
• 公開サーバー勝手、DMZに配置して、一旦プライベートIPアドレスを振る
• ファイアウォール買って公開サーバーと繋げてNAT設定する
• ファイアウォールに通信許可を与える

　クラウドの場合

• ドメイン取得業者（レジストラ）からドメイン名取得する
• 公開サーバー（インスタンス）を用意する
• グローバルIPを割り当てる
  • AWSだとElastic IP アドレスとかいうサービスあるらしい
• クラウドのDNSサービスにドメイン名を登録
• レジストラにクラウドのDNSサーバーを登録する
• クラウドDNSサービスでFQDN（ホスト名＋ドメイン名）と固定IPアドレスを関連付け
• インスタンスに対する通信を制御設定する。

・WebサーバーはApacheかWindowsサーバーのIIS

・SSLサーバーはOpenSSLかWindowsサーバーのIIS

・SSLサーバーにはデジタル証明書が必要

• 管理者はサーバーソフトウェアで秘密鍵と公開鍵つくる
• 公開鍵をCSR(Certification signing request)として認証局(CA局)という第三者期間に提出。秘密鍵は大切にもっておく
• CA局が与信判断して、デジタル証明書をくれる
• デジタル証明書をサーバーにインストール

これで

• クライアントはサーバーにアクセスするとデジタル証明書（公開鍵つき）をえる
• サーバーの身元確認して共通鍵の下を公開鍵で暗号化して暗号化データ送信
• サーバーは秘密鍵で復号して共通鍵を作る
• 共通鍵で暗号化通信をする

・FTPサーバーは暗号化されていないのでSSLで暗号化させるFTPSかSSHで暗号化させたSFTPもあり。

・WebアプリケーションサーバーはJavaEEか.NET Frameworkで開発される。IISは.NETアプリケーションサービスを提供。

・VPNサーバが使うプロトコルはIPsec。リモートアクセスVPNではIPsec VPNと、SSLを利用するSSL-VPNがある。SSL-VPNだと専用のアプライアンスサーバがいる。

・ファイアウォールにも、トラディショナルと、Unified Threat Management, WAFとかある。

・サーバー運用保守の作業分類としては、設定変更（ユーザーアカウント追加削除変更、OSやアプリケーションの更新検証と実施、OSやアプリケーションの設定調整）、トラブル事前対応（SNMPサーバの定期的性能/状態/障害監視、Syslogサーバによるエラーログ監視、バックアップ取得）、トラブル事後対応（ログ解析と対応、バックアップからのリストア）

・サーバのSSH(鍵をファイル指定)を使用したリモート管理

• UNIX系サーバー：Terminal
• Windows系サーバー：TeraTerm, PuTTy でRDP