JP1/Integrated Management - Central Information Master システム構築・運用ガイド

[目次][用語][索引][前へ][次へ]

8.2.1 パケット・フィルタリング

パケット・フィルタリングは,ファイアウォール経由で使用できるアプリケーションを,特定のアプリケーションだけに制限するための機能です。ファイアウォールを通過する通信パケットを一つずつ確認し,あらかじめ指定した通過条件に一致しないパケットを破棄することで,不正な通信がファイアウォールを通過することを防ぎます。これによって,通過条件に指定されたアプリケーションだけがファイアウォール経由で使用できます。

<この項の構成>
(1) システム構成例と通信
(2) IPアドレス
(3) パケット・フィルタリングの設定
(4) JP1/IM - CMの場合の設定例

(1) システム構成例と通信

パケット・フィルタリング通過条件として設定に必要なポート番号,IPアドレス,および通信方向について説明します。

なお,JP1/IM - CMの機能には,前提製品であるJP1/Baseの機能を使用しています。そのため,JP1/IM - CMの通信にJP1/Baseの通信を含めて説明します。

(a) ポート番号

JP1/IM - CMで使用するポート番号については,「付録C.1 JP1/IM - CMが使用するポート番号」を参照してください。

(b) システム構成例と通信

次のシステム構成例によって,使用するポート番号とファイアウォール通過方向(コネクション確立の方向)について説明します。

注意
ファイアウォールのホストでJP1を使用する場合,自ホスト内の通信については,JP1が使うすべてのポートを通過できるよう設定してください。これは,JP1のプロセス同士の通信にポートを使用するためです。

図8-1 システム構成例

[図データ]

 

 

(2) IPアドレス

JP1/IM - CMおよびJP1/Baseが使うIPアドレスについて説明します。

IPアドレスでフィルタリングする場合や,アドレス変換(NAT)する場合は,ここで説明するIPアドレスを指定してください。

なお,JP1/IM - CMは,前提製品JP1/Baseの機能を使って通信方法を制御しています。設定の詳細については,マニュアル「JP1/Base 運用ガイド」のネットワーク構成に応じたJP1/Baseの通信設定の章を参照してください。

(a) 通常のシステムの場合

クラスタではない通常のシステムで,論理ホストのセットアップをしていない場合に使用するIPアドレスを説明します。

(b) クラスタシステムの場合

クラスタシステムで論理ホスト環境のセットアップをしている場合,通常のシステムと異なり,以下のIPアドレスを使用します。

(3) パケット・フィルタリングの設定

パケット・フィルタリングの設定について説明します。

(a) パケット・フィルタリングを設定するには

パケット・フィルタリングを設定するには,次の作業が必要です。

  1. アプリケーションが使用するポート番号など通信の方式を調べる。
    ファイアウォールの通過条件として設定するポート番号やIPアドレスおよび通過方向を確認します。

  2. ファイアウォールに通過条件を設定する。
    すべての通過を禁止してから,特定のアプリケーションの通信だけがファイアウォールを通過できるよう通過条件を設定します。
    JP1/IM - CMの場合,先の手順で確認したJP1/IM - CMの通信がファイアウォールを通過できるように設定してください。

(4) JP1/IM - CMの場合の設定例

JP1/IM - View(セントラルインフォメーションマスター・ビューアー)とJP1/IM - CM(サーバ)の間にファイアウォールがある環境を例にとって,パケット・フィルタリングの設定について説明します。

  1. JP1の通信の方法を調べる
    パケット・フィルタリング設定に必要な情報であるJP1の通信の方法を調べます。ポート番号の一覧とファイアウォールの通過方向の表を示します。
    サービス名 ポート番号 ファイアウォールの通過方向
    jp1cmnaming 22301/tcp JP1/IM - View(CM) → JP1/IM - CM
    jp1cmsessmgr 22302/tcp JP1/IM - View(CM) → JP1/IM - CM
    jp1cmobjprov 22303/tcp JP1/IM - View(CM) → JP1/IM - CM
    jp1cminfocol 22304/tcp JP1/IM - View(CM) → JP1/IM - CM
    この表は,次のような通信の方法を意味しています。
    • サービス名とポート番号の欄
      JP1が通信で使用するサービス名とポート番号です。JP1/IM - ViewとJP1/IM - CMの通信は,ポート番号22301〜22304を使い,通信のプロトコルはTCPであることがわかります。
    • ファイアウォールの通過方向の欄
      この欄は,接続開始時(コネクション確立時)の通信方向を意味しており,表中の矢印に接続します。接続開始時の方向は,ファイアウォール通過を許可する方向を制限したい時に必要な情報です。この表からは,JP1/IM - View(セントラルインフォメーションマスター・ビューアー)からJP1/IM - CMへの方向で接続することがわかります。
    • その他
      表には直接書かれていませんが,表の情報とTCPの通信の仕様から考えると次のことがわかります。
      TCPは双方向の通信であるため,行き(JP1/IM - View(セントラルインフォメーションマスター・ビューアー)→JP1/IM - CM)と帰り(JP1/IM - View(セントラルインフォメーションマスター・ビューアー)←JP1/IM - CM)の通信があります。通信での行きと帰りのパケットでは,送信元IPアドレス(Source IPアドレス)と送信先IPアドレス(Destination IPアドレス)が入れ替わります。

  2. パケット・フィルタリングを設定する。
    確認したJP1/IM - View(セントラルインフォメーションマスター・ビューアー)とJP1/IM - CMの通信の方法を基に,この通信だけがファイアウォールを通過できるように設定します。
    パケット・フィルタリングの通過条件は次のようになります。
    (例)フィルタリング条件:JP1/IM - View(セントラルインフォメーションマスター・ビューアー)とJP1/IM - CMの場合
    # Source
    Address    		 Destination
    Address    		 Protocol Source
    Port    		 Destination
    Port    		 Control 
    1
    		 
    192.168.19.37
    		 
    172.16.100.24
    		 
    TCP
    		 
    (ANY)
    		 
    22301〜22304
    		 
    accept
    		 
    2
    		 
    172.16.100.24
    		 
    192.168.19.37
    		 
    TCP
    		 
    22301〜22304
    		 
    (ANY)
    		 
    accept
    		 
    3
    		 
    (ANY)
    		 
    (ANY)
    		 
    (ANY)
    		 
    (ANY)
    		 
    (ANY)
    		 
    reject

    この表は,パケットを確認する条件と条件に一致した場合の制御を示しています。

    Controlの列は,ファイアウォールがパケットの通過を許可(accept)するか,拒否(reject)するかの指定です。(ANY)は,OSによって割り当てられる任意の空きポート番号を使うという意味です。

    この表のフィルタリング条件に合わせて,ファイアウォールのパケット・フィルタリングを設定します。


 

なお,具体的な設定方法はファイアウォールによって異なります。使用しているファイアウォールのマニュアルを参照してください。

[目次][前へ][次へ]

[他社商品名称に関する表示]

All Rights Reserved. Copyright (C) 2006, 2007, Hitachi, Ltd.