ネットワークとファイアウォール
BioStar X を認証されていないアクセスや、ネットワーク内の横方向移動から保護するには、ネットワーク境界セキュリティとホストベースのファイアウォール設定を安全に保つことが重要です。 BioStar X は HTTPS、REST、gRPC、WebSockets、Thrift を通じてサービスを提供できるため、受信および送信接続を厳密に制御してください。
Windows Defender ファイアウォールを有効化して設定する
ファイアウォールを正しく設定すると、明示的に許可されたトラフィックのみが BioStar X に到達し、攻撃対象領域を大幅に減らせます。
BioStar X の基本ネットワークポート
| サービス | 用途 | 基本ポート |
|---|---|---|
| BioStar X Core Web Service | HTTPS / Web インターフェース | 5002 |
| Thrift RPC | 9310 | |
| BioStar X Core Service | WebSocket | 9002 |
| FastCGI | 9000 | |
| API | 9010 | |
| RPC | 51218 | |
| Unified Gateway Service | HTTPS | 443 |
| Coordinator Service | クライアント通信 | 21810 |
| Main Server | TCP サーバー | 51212 |
| SSL サーバー | 51213 | |
| gRPC | 51219 | |
| Cache Service | クライアント | 10800 |
| 通信 | 47500 | |
| 検索 | 47100 |
コミュニケーションサーバーを展開するときは、メインサーバーと同じ通信ポート(51212、51219)を使用します。 管理者は、展開トポロジーに応じて、コミュニケーションサーバーとメインサーバー間でこれらのポートにアクセスできることを確認してください。
手順
-
高度なセキュリティが含まれる Windows Defender ファイアウォール(
wf.msc)を実行してください。 -
受信の規則で、不要な規則を削除または無効化してください。
-
次のように明示的な許可規則を作成してください。
-
Unified Gateway HTTPS(
443):必要に応じて外部/公開ポートとして設定 -
Core Web Service HTTPS(
5002):可能な限り443経由でプロキシ設定 -
内部専用ポート(gRPC
51219、Cache10800/47500/47100、Coordinator21810、Thrift9310):localhost または信頼できるサブネットからのみ接続を許可
-
-
その他すべての受信トラフィックは ブロック に設定してください。
-
送信の規則では、既知の信頼できるエンドポイントに制限してください。
すべて許可 のような包括的な規則は使用しないでください。 既定ポートの変更は、わずかなあいまい性の向上には役立ちますが、ファイアウォールの適用に代わるものではありません。
リモートアクセスの制限
-
リモート デスクトップ プロトコル(RDP)へのアクセス権限を、認証済みの管理者だけに制限してください。
-
RDP が必要な場合は、NLA を使用するか、サーバーを VPN の背後に配置するか、ジャンプ ホストを使用してください。
-
RDP が不要な場合は、無効化してください。 (システムのプロパティ → リモート設定)。
安全なネットワークセグメンテーション
-
BioStar X サーバーは、ユーザーネットワークと分離した専用 VLAN または DMZ に配置してください。
-
BioStar X と必須システム(例:データベースサーバー、API 消費側、リーダー)間の通信のみを許可してください。
-
管理アクセス(RDP、SSH)を管理者サブネットのみに制限してください。
ベストプラクティス
多層防御のため、ネットワークをセグメント化し、ホストファイアウォールを組み合わせてください。
ネットワークプロトコルの強化
SMBv1 を無効化
PowerShell コマンドを使用して SMBv1 を無効化してください。
Disable-WindowsOptionalFeature -Online -FeatureName SMB1Protocol
TLS 1.2+ の適用
-
レジストリのパス:
HKLM\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\ProtocolsSSL 2.0、SSL 3.0、TLS 1.0、TLS 1.1 を無効化
-
IIS Crypto または
nmap --script ssl-enum-ciphersで検証してください。
互換性の問題を防ぐには、プロトコルを無効化する前にステージング環境でテストしてください。
ネットワーク侵入の検知と監視
-
IDS/IPS(Snort、Suricata、または商用製品)を展開してください。
-
Windows Defender ファイアウォールで、ブロックされたパケットと許可された接続のログを有効化してください。
-
集中監視のため、ログを SIEM に転送してください。
ファイアウォールのログ保存場所: %systemroot%\system32\LogFiles\Firewall\pfirewall.log