3.4.3 ファイアウォール透過

ここでは,ファイアウォールを含むネットワーク環境でJP1/AJS2を運用する場合について説明します。

JP1/AJS2では,ファイアウォールを介してJP1/AJS2 - Manager,JP1/AJS2 - Agent,またはJP1/AJS2 - Viewに接続するシステム構成に対応しています。

ファイアウォールを設定した環境でJP1/AJS2を運用する場合の通信設定については,「3.4.5 ファイアウォールを設定した環境の構成例と通信設定」を参照してください。

ファイアウォールを設定したシステム構成例を次の図に示します。

図3-22 ファイアウォールを設定したシステム構成例

[図データ]

次に,ファイアウォールの機能で検討する必要がある内容について説明します。

<この項の構成>
(1) ファイアウォールの基礎知識
(2) JP1/Baseの通信
(3) JP1/AJS2の通信

(1) ファイアウォールの基礎知識

ファイアウォールを含むネットワーク環境でJP1を運用する場合,ファイアウォールの機能のうち,次の二つについて対応を検討する必要があります。

これらを検討し環境を設定するためには,ファイアウォールが通信を制御する方法を理解する必要があります。

まず,ここではパケット・フィルタリングやNATなどについての基礎的な知識について説明します。

注意
ここで説明する内容は,ファイアウォールの基礎を理解していただくための概要です。実際にファイアウォールを設置する場合は,必ずファイアウォールのマニュアルやセキュリティの専門書を参照し,十分に理解した上で,検討や環境設定をしてください。

(a) パケット・フィルタリング

パケット・フィルタリングは,ファイアウォール経由で実施する通信を,特定の通信だけに制限するための機能です。ファイアウォールを通過する通信パケットを一つずつ確認し,あらかじめ指定した通過条件に一致しない通信パケットを破棄することで,不正な通信がファイアウォールを通過することを防ぎます。これによって,通過条件に指定された通信パケットだけがファイアウォール経由で使用できます。

JP1/AJS2では,パケット・フィルタリングに対応しています。

●パケット・フィルタリングを設定するには

パケット・フィルタリングを設定するには,次の作業が必要です。

  1. アプリケーションが使用するポート番号など通信の方式を調べる。
    ファイアウォールの通過条件として設定するポート番号やIPアドレスおよび通過方向を確認します。
    JP1/AJS2の場合,この項での説明と,「付録C 設定するポート番号一覧」の説明を参照して,通信方法を確認してください。
  2. ファイアウォールに通過条件を設定する。
    まず,すべての通過を禁止してから,特定の通信パケットの通信だけがファイアウォールを通過できるよう通過条件を設定します。
    JP1/AJS2の場合,手順1で確認したJP1の通信がファイアウォールを通過できるように設定してください。

●JP1/AJS2の場合の設定例

ここでは,JP1/AJS2 - ViewとJP1/AJS2 - Managerの間にファイアウォールがある環境を例に,パケット・フィルタリングの設定について説明します。

例:JP1/AJS2 - Viewをファイアウォール経由でJP1/AJS2 - Managerに接続する。
  • JP1/AJS2 - Managerは,クラスタではない通常のシステムとする。
  • JP1/AJS2 - ViewのマシンのIPアドレスは100.100.100.10とする。
  • JP1/AJS2 - ManagerのマシンのIPアドレスは200.200.200.20とする。
  • ポート番号は,JP1の標準のポート番号を使う。

    図3-23 JP1/AJS2のパケット・フィルタリングの設定例

    [図データ]

  1. JP1の通信の方法を調べる。
    まず,パケット・フィルタリング設定に必要な情報である,JP1の通信の方法を調べます。「(3) JP1/AJS2の通信」の説明を参照すると,JP1/AJS2 - Viewが使用するポート番号について次のような表で説明されています。

    表3-6 JP1/AJS2 - ViewとJP1/AJS2 - Managerの間の通信

    JP1/AJS2 - View方向JP1/AJS2 - Manager
    (ANY)20244/tcp(jp1ajs2monitor)
    この表は,次のような通信の方法を意味しています。
    • JP1/AJS2 - Managerはポート番号20244を使用し,JP1/AJS2 - Viewからの接続を受け付ける。つまり,JP1/AJS2 - Viewは,JP1/AJS2 - Manager側のポート番号20244に接続する。
    • ポート番号20244は,jp1ajs2monitorというサービス名で定義されている。環境設定でポート番号を20244以外に変更することもできる。
    • JP1/AJS2 - View側のポート番号は,そのときに空いている任意のポート番号(ANY)がOSによって自動的に割り当てられる。
    • 接続する方向は,JP1/AJS2 - ViewからJP1/AJS2 - Managerの方向である。この方向は,ネットワークAからネットワークBの方向に接続するときだけファイアウォール通過を許可するなど,通過方向を制限したいときに使う。
    • プロトコルはTCPである。
    • TCPは双方向の通信であるため,行き(JP1/AJS2 - View→JP1/AJS2 - Manager)と帰り(JP1/AJS2 - View←JP1/AJS2 - Manager)の通信がある。行きと帰りの通信パケットでは,送信元(Source)と送信先(Destination)が入れ替わる。

     

    使用するIPアドレスは,JP1/Baseの通信設定に依存します。JP1/Baseの通信設定については,マニュアル「JP1/Base 運用ガイド」を参照してください。
  2. パケット・フィルタリングを設定する。
    確認したJP1/AJS2 - ViewとJP1/AJS2 - Managerの通信の方法を基に,この通信だけがファイアウォールを通過できるように設定します。
    パケット・フィルタリングの通過条件は次の表のようになります。

    表3-7 フィルタリング条件の例(JP1/AJS2 - ViewとJP1/AJS2 - Managerの場合)

    項番SourceAddressDestinationAddressProtocolSourcePortDestinationPortControl
    1100.100.100.10200.200.200.20TCP(ANY)20244accept
    2200.200.200.20100.100.100.10TCP20244(ANY)accept
    3(ANY)(ANY)(ANY)(ANY)(ANY)reject
    この表は,パケットを確認する条件と条件に一致した場合の制御を示しています。
    Controlの列は,ファイアウォールがパケットの通過を許可(accept)するか,拒否(reject)するかの指定です。
    この表のフィルタリング条件に合わせて,ファイアウォールのパケット・フィルタリングを設定してください。

なお,具体的な設定方法はファイアウォールによって異なります。使用しているファイアウォールのマニュアルを参照してください。

(b) NAT(アドレス変換)

NAT(Network Address Transration)は,プライベートなIPアドレスと,グローバルなIPアドレスとを相互に変換する機能です。アドレス変換をすることで,プライベート側のアドレスが外部から隠され,内部のマシンのセキュリティを高めることができます。なお,NATは,ファイアウォールだけではなく,ルーターの機能として提供されている場合もあります。

JP1/BaseおよびJP1/AJS2は,スタティック・モード(あらかじめ決められたルールに従ってアドレスを変換する方法)のNAT(アドレス変換)に対応しています。ここでは,スタティック・モードでのアドレス変換だけを説明します。

また,JP1/BaseおよびJP1/AJS2は通信時のホスト名から,一意のホスト名・IPアドレスが決まらない環境では使用できません。そのため,ダイナミック・モード(そのときに空いている番号を割り当てて,自動的にルールを設定および変更する方法)のNATやポート変換機能を含むNAPT(IP Masquerade, NAT+)には対応していません。

●NATを設定するには

NATを設定するには,次の作業が必要です。

  1. 使用するIPアドレスを確認する。
    まず,アプリケーションが使用するIPアドレスを確認します。IPアドレスを一つしか使っていないマシンの場合は単純ですが,複数のネットワークアダプターがある(つまり複数のIPアドレスがある)場合や,クラスタシステムで論理IPアドレスを使う場合などは,アプリケーションによってどのIPアドレスを使用するかが異なります。
    JP1/AJS2の場合,通常のシステムの場合と,クラスタシステムで論理ホストを設定している場合とで,使用するIPアドレスが異なります。詳細については,マニュアル「JP1/Base 運用ガイド」を参照してください。
  2. アドレスの変換ルールを検討し設定する。
    アプリケーションが使用するIPアドレスが確認できたら,変換後のIPアドレスを決めます。
    アドレスの変更ルールが決まったら,NATに設定します。

●JP1/AJS2の場合の設定例

ここでは,JP1/AJS2 - ViewとJP1/AJS2 - Managerの間にファイアウォールがある環境を例に,JP1の場合のNATの設定について説明します。

 

例:JP1/AJS2 - Viewからアドレス変換したJP1/AJS2 - Managerに接続する。
  • JP1/AJS2 - Managerは,クラスタではない通常のシステムとする。
  • JP1/AJS2 - ViewのマシンのIPアドレスは 100.100.100.10とする。
  • JP1/AJS2 - ManagerのマシンのIPアドレスは 150.150.150.15とする。
    このJP1/AJS2 - ManagerのIPアドレスを 200.200.200.20に変換する。
    JP1/AJS2 - Viewからは変換後の200.200.200.20に接続する。

    図3-24 JP1/AJS2のNATの設定例

    [図データ]

  1. 使用するIPアドレスを確認する。
    まず,NATの設定に必要な情報である,JP1が使用するIPアドレスを調べます。
    今回の例では,通常のシステムのためホスト名(hostnameの結果)に対応するIPアドレスを使って通信します。
  2. アドレス変換ルールを検討し設定する。
    JP1/AJS2 - ManagerのマシンのIPアドレスをNATによって150.150.150.15から200.200.200.20 へアドレス変換するよう変換ルールを決めます。

    表3-8 アドレス変換ルール例(150.150.150.15を200.200.200.20に変換する場合)

    項番SourceAddressDestinationAddressSourceAddress(Transrated)DestinationAddress(Transrated)
    1(ANY)200.200.200.20(ANY)150.150.150.15
    2150.150.150.15(ANY)200.200.200.20(ANY)
    この表は,元のパケットと,アドレス変換したパケット(Transrated)との対応を示しています。
    このアドレス変換ルールをファイアウォールのNAT設定に定義します。
    なお,具体的な設定方法はファイアウォールやルーターによって異なりますので,使用している製品のマニュアルを参照してください。

JP1/AJS2 - Viewがアクセスするのは,実際のJP1/AJS2 - Managerのマシンのアドレス(150.150.150.15)ではなく,アドレス変換したあとのアドレス(200.200.200.20)となります。

このため,JP1/AJS2 - Viewからは,あたかもアドレス(200.200.200.20)のホストJP1/AJS2 - Managerにアクセスしているように見えます。

(c) ファイアウォール環境での運用するJP1の通信設定

ファイアウォールを経由するネットワーク環境でJP1を運用する場合は,JP1の通信方式をIPバインド方式に設定することの検討と,複数LAN接続の設定による影響を考慮してください。

ファイアウォール環境でJP1を運用するには,これまで説明したようにパケット・フィルタリングやNATに,IPアドレスとポート番号による条件を設定する必要があります。このため,JP1が使用するIPアドレスを明確にする必要があり,JP1の使用するIPアドレスがJP1の設定によって決められるIPバインド方式が適しています。

例えば,JP1を実行するサーバが,複数のLANに接続されている構成やクラスタシステム構成では,使用するIPアドレスがOSによって決められるため,ユーザーの意図しないIPアドレスが使われることがあります。この場合は,JP1の通信方式をIPバインド方式に設定し,JP1の環境設定で指定したIPアドレスを使って通信することで対処できます。

(2) JP1/Baseの通信

JP1/Baseの通信については,マニュアル「JP1/Base 運用ガイド」を参照してください。

(3) JP1/AJS2の通信

JP1/AJS2の通信について,ポート番号,IPアドレス,アドレス変換(NAT)の対応を説明します。

(a) ポート番号

●JP1/AJS2のポート番号

JP1/AJS2では次のポート番号を使用します。このほかに,前提製品であるJP1/Baseのポート番号も使用します。

JP1/AJS2のポート番号については,「付録C.1 ポート番号一覧」を参照してくだい。

●主なシステム構成と通信

次に主なシステム構成で使用するポート番号と通信の方向を説明します。

なお,ここでの説明とあわせて,次のマニュアルの記述を参照してください。

参照個所
注意事項
ファイアウォールのホストでJP1を使用する場合,自ホスト内の通信については,JP1が使うすべてのポートを通過できるよう設定してください。これは,自ホスト内の処理でもJP1のプロセス同士の通信にポートを使用するためです。

図3-25 システム構成例

[図データ]

(システム構成例:HOST-VとHOST-M1に対応)

表3-10 JP1/AJS2 - ManagerとJP1/AJS2 - Managerの通信

JP1/AJS2 - Manager方向JP1/AJS2 - Manager
(ANY)20241/tcp(jp1ajs2qman)
20242/tcp(jp1ajs2qagt)
20243/tcp(jp1ajs2qnfy)
20244/tcp(jp1ajs2monitor)
20245/tcp(jp1ajs2report)
20246/tcp(jp1ajs2eamgr)
20247/tcp(jp1ajs2eaagt)
20300/tcp(jp1ajs2qlagt)
20301/tcp(jp1ajs2qlftp)
23139/tcp(jp1ajs2chkagt)
23160/tcp(jp1ajs2gw)
20241/tcp(jp1ajs2qman)
20242/tcp(jp1ajs2qagt)
20243/tcp(jp1ajs2qnfy)
20244/tcp(jp1ajs2monitor)
20245/tcp(jp1ajs2report)
20246/tcp(jp1ajs2eamgr)
20247/tcp(jp1ajs2eaagt)
20300/tcp(jp1ajs2qlagt)
20301/tcp(jp1ajs2qlftp)
23139/tcp(jp1ajs2chkagt)
23160/tcp(jp1ajs2gw)
(ANY)

(システム構成例:HOST-M1とHOST-M2に対応)

JP1/AJS2 - ManagerとJP1/AJS2 - Managerの間の通信です。

表3-11 JP1/AJS2 - ManagerとJP1/AJS2 - Agentの通信

JP1/AJS2 - Manager方向JP1/AJS2 - Agent
(ANY)20242/tcp(jp1ajs2qagt)
20246/tcp(jp1ajs2eamgr)
20247/tcp(jp1ajs2eaagt)
20300/tcp(jp1ajs2qlagt)
23139/tcp(jp1ajs2chkagt)
20241/tcp(jp1ajs2qman)
20243/tcp(jp1ajs2qnfy)
20246/tcp(jp1ajs2eamgr)
20247/tcp(jp1ajs2eaagt)
20301/tcp(jp1ajs2qlftp)
(ANY)

(システム構成例:HOST-M1とHOST-Aに対応)

表3-12 JP1/AJS2 - ManagerとJP1/Base(認証サーバ)の通信

JP1/AJS2 - Manager方向JP1/Base
(ANY)20240/tcp(jp1bsuser)

(システム構成例:HOST-M1とHOST-AUTHに対応)

また,その他の構成として他プログラムを使う場合に行われる通信を次の表に示します。

表3-13 JP1/AJS2 - Managerと他プログラム

JP1/AJS2 - Manager方向他プログラム
(ANY)20241/tcp(jp1ajs2qman)
20241/tcp(jp1ajs2qman)
20245/tcp(jp1ajs2report)
(ANY)

他プログラムとは,JP1/NQSEXEC,JP1/OJE for VOS3,JP1/AJS2の関数を利用したユーザープログラムのことです。

JP1/AJS2 Console機能を使う場合に行われる通信を次の表に示します。

表3-14 JP1/AJS2 Console ViewとJP1/AJS2 Console Managerの通信

JP1/AJS2 Console View方向JP1/AJS2 Console Manager
(ANY)22275/tcp(jp1ajs2cm)

表3-15 JP1/AJS2 Console ManagerとJP1/AJS2 Console Agentの通信

JP1/AJS2 Console Manager方向JP1/AJS2 Console Agent
(ANY)22276/tcp(jp1ajs2ca)

(b) IPアドレス

JP1/AJS2が使うIPアドレスは,JP1/Baseが使うIPアドレスに準じます。

詳しくはJP1/Baseの説明を参照してください。

なお,バージョン互換のため,イベントジョブの実行で使用する送信側IPアドレスだけJP1/Baseが使う送信側IPアドレスに準ずるか,受信側IPアドレスに準ずるかを選択できます。この設定については,「8.5.7 イベントジョブ実行時に使用する通信の送信バインド方式を設定する」を参照してください。

(c) アドレス変換(NAT)の対応

JP1/AJS2は,スタティック・モードでのアドレス変換(NAT)に対応しています。