ファイアウォール環境での運用について説明する前に,まず,ファイアウォールの基礎知識について説明します。
ファイアウォールを含むネットワーク環境でJP1を運用する場合,ファイアウォールの機能のうち,次の二つについて対応を検討する必要があります。
これらを検討し環境を設定するためには,ファイアウォールが通信を制御する方法を理解する必要があります。
(1) パケット・フィルタリング
パケット・フィルタリングは,ファイアウォール経由で使用できるアプリケーションを,特定のアプリケーションだけに制限するための機能です。ファイアウォールを通過する通信パケットを一つずつ確認し,あらかじめ指定した通過条件に一致しないパケットを破棄することで,不正な通信がファイアウォールを通過することを防ぎます。これによって,通過条件に指定されたアプリケーションだけがファイアウォール経由で使用できます。
JP1/IMは,パケット・フィルタリングに対応しています。
(a) パケット・フィルタリングを設定するには
パケット・フィルタリングを設定するには,次の作業が必要です。
(b) JP1/IMの場合の設定例
ここでは,JP1/IM - ViewとJP1/IM - Managerの間にファイアウォールがある環境を例に,パケット・フィルタリングの設定について説明します。
図7-5 パケット・フィルタリングの設定例
表7-9 ファイアウォールの通過方向
項番 | サービス名 | ポート番号 | ファイアウォールの通過方向 |
---|---|---|---|
1 | jp1imevtcon | 20115/tcp | JP1/IM - View → JP1/IM - Manager(JP1/IM - Central Console) |
2 | jp1imcmda | 20238/tcp | JP1/IM - View → JP1/IM - Manager(JP1/IM - Central Console) JP1/IM - Manager(JP1/IM - Central Console) → JP1/Base※1 |
3 | jp1imcss | 20305/tcp | JP1/IM - View → JP1/IM - Manager(JP1/IM - Central Scope) |
4 | jp1cmnaming | 22301/tcp | JP1/IM - View → JP1/IM - Central Information Master |
5 | jp1cmsessmgr | 22302/tcp | |
6 | jp1cmobjprov | 22303/tcp | |
7 | jp1cminfocol | 22304/tcp | |
8 | jp1imidm | 23044/tcp | JP1/IM - Manager(JP1/IM - Central Console) → JP1/IM - Incident Master |
9 | jp1imeds | 23045/tcp | JP1/IM - Managerがインストールされたマシン内だけの通信となるため,ファイアウォールの設定は不要 |
10 | jp1imegs | 20383/tcp | JP1/IM - Managerがインストールされたマシン内だけの通信となるため,ファイアウォールの設定は不要 |
11 | jp1rmregistry | 20380/tcp | JP1/IM - View → JP1/IM - Rule Operation |
12 | jp1rmobject | 20381/tcp | |
13 | http | 80/tcp※2 | WWWページ版のJP1/IM - View(WWWブラウザー) → HTTPサーバ |
14 | jp1imcf | 20702/tcp | JP1/IM - View → JP1/IM - Manager(IM構成管理) |
注※1 マネージャーのJP1/Baseが対象です。
注※2 HTTPサーバの設定によっては異なる場合があります。
表7-10 パケット・フィルタリングの通過条件
項番 | Source Address | Destination Address | Protocol | Source Port | Destination Port | Control |
---|---|---|---|---|---|---|
1 | 192.168.19.37 | 172.16.100.24 | TCP | (ANY) | 20115 | accept |
2 | 192.168.19.37 | 172.16.100.24 | TCP | (ANY) | 20238 | accept |
3 | 192.168.19.37 | 172.16.100.24 | TCP | (ANY) | 20305 | accept |
4 | 172.16.100.24 | 192.168.19.37 | TCP | 20115 | (ANY) | accept |
5 | 172.16.100.24 | 192.168.19.37 | TCP | 20238 | (ANY) | accept |
6 | 172.16.100.24 | 192.168.19.37 | TCP | 20305 | (ANY) | accept |
7 | (ANY) | (ANY) | (ANY) | (ANY) | (ANY) | reject |
(2) NAT(アドレス変換)
NAT(Network Address Translator:アドレス変換)は,プライベートなIPアドレスと,グローバルなIPアドレスとを相互に変換する機能です。アドレス変換をすることで,プライベート側のアドレスが外部から隠され,内部のマシンのセキュリティを高めることができます。なお,NATは,ファイアウォールだけではなく,ルーターの機能として提供されている場合もあります。
JP1は,スタティック・モード(あらかじめ決められたルールに従ってアドレスを変換する方法)のNATにだけ対応しています。
(a) NATを設定するには
NATを設定するには,次の作業が必要です。
(b) JP1/IMの場合の設定例
ここでは,JP1/IM - ViewとJP1/IM - Managerの間にファイアウォールがある環境を例に,NATの設定について説明します。
図7-6 NATの設定例
注意:これはNATでのアドレス変換の例であり,ほかの変換方法の場合もあります。
表7-11 アドレス変換ルール
項番 | Source Address | Destination Address | Source Address (Transrated) | Destination Address (Transrated) |
---|---|---|---|---|
1 | (ANY) | 192.168.100.24 | (ANY) | 172.16.100.24 |
2 | 172.16.100.24 | (ANY) | 192.168.100.24 | (ANY) |
JP1/IM - Viewがアクセスするのは,実際のJP1/IM - Managerのマシンのアドレス(172.16.100.24)ではなく,アドレス変換したあとのアドレス(192.168.100.24)となります。
このため,JP1/IM - Viewからは,あたかもアドレス(192.168.100.24)のホストJP1/IM - Manager’にアクセスしているように見えます。
(3) ファイアウォール環境での運用するJP1の通信設定
ファイアウォールを経由するネットワーク環境でJP1を運用する場合は,JP1の通信方式をIPバインド方式に設定することと,複数LAN接続の設定による影響を考慮してください。
ファイアウォール環境でJP1を運用するには,これまで説明したようにパケット・フィルタリングやNATに,IPアドレスとポート番号による条件を設定する必要があります。
このため,JP1が使用するIPアドレスを明確にする必要があり,JP1の使用するIPアドレスがJP1の設定によって決められるIPバインド方式が適しています。
例えば,JP1を実行するサーバが,複数のLANに接続されている構成やクラスタシステム構成では,使用するIPアドレスがOSによって決められる場合があり,意図しないIPアドレスが使われることがあります。この場合は,JP1の通信方式をIPバインド方式に設定し,JP1の環境設定で指定したIPアドレスを使って通信することで対処できます。