JP1/NETM/DM 導入・設計ガイド(Windows(R)用)
JP1/NETM/DMは,ファイアウォールを使用しているシステムでも,セキュリティのレベルを下げることなく運用できます。例えば,配布管理システムが設置された配布拠点と中継システムが設置された各部門のネットワークが,それぞれ,ファイアウォールで管理されていても,配布管理システムから中継システムへソフトウェアを配布できます。
ここでは,ファイアウォールを使用した環境で,JP1/NETM/DMを運用する方法について説明します。
なお,ファイアウォールでHTTPが使用できるように設定されている場合,インターネットオプションを使用すると,ここで説明しているファイアウォールの設定は不要になります。ただし「(5) ファイアウォールを使用した場合の注意事項」については,インターネットオプションを使用する場合にも注意してください。インターネットオプションについては,マニュアル「構築ガイド」の「付録E インターネットオプションを使ったJP1/NETM/DMの導入」を参照してください。
JP1/NETM/DMで使用できるファイアウォールには,次の方式があります。
設定によってファイアウォールを通過するパケットを制限する,ファイアウォール実現方式の一つです。代表的な製品は,Firewall-1です。
パケットフィルタリング方式のファイアウォールの場合は,該当するノードのIPアドレスとポート番号を設定することで,JP1/NETM/DMが使用できるようになります。
パケットの中継を禁止し,アプリケーションゲートウェイでアクセスを制御する,ファイアウォール実現方式の一つです。代表的な製品は,Gauntletです。
アプリケーションゲートウェイ方式のファイアウォールの場合は,ゲートウェイでアプリケーションごとにアクセスを制御するので,JP1/NETM/DMをアクセス可能なアプリケーションに設定する必要があります。
Gauntletの場合は,仮想プライベートネットワーク(VPN)機能を使用することによって,JP1/NETM/DMをアクセス可能なアプリケーションにします。
NAT機能とは,外部ネットワークから内部ネットワークのアドレスが見えないように,また内部ネットワークのアドレスが外部に漏れないようにするための機能です。
アドレス変換の方式には,次の2種類があります。
JP1/NETM/DMで使用できるのは,「固定アドレス割り当て方式(STATICモード)」だけです。
ファイアウォール環境でJP1/NETM/DMを使用する場合,ファイアウォールにポート番号を設定する必要があります。
次にJP1/NETM/DMで使用するポート番号を示します。
表6-2 JP1/NETM/DMで使用するポート番号
通信区間 | ポート番号 | プロトコル | 発信側情報 | 着信側情報 |
---|---|---|---|---|
マネージャ/中継システム間 | 30002(udp/tcpを選択※1) | udp | マネージャ:Ephemeral | 中継システム:30002 |
中継システム:Ephemeral | マネージャ:30002 | |||
tcp | マネージャ:Ephemeral | 中継システム:30002 | ||
中継システム:30002 | マネージャ:Ephemeral | |||
30000 | tcp | マネージャ:30000 | 中継システム:Ephemeral | |
中継システム:Ephemeral | マネージャ:30000 | |||
中継システム/クライアント間 | 30002(udp/tcpを選択※1) | udp | 中継システム:Ephemeral | クライアント:30002 |
クライアント:Ephemeral | 中継システム:30002 | |||
tcp | 中継システム:Ephemeral | クライアント:30002 | ||
クライアント:30002 | 中継システム:Ephemeral | |||
30001 | tcp | 中継システム:30001 | クライアント:Ephemeral | |
クライアント:Ephemeral | 中継システム:30001 | |||
マネージャ/クライアント間 | 30002(udp/tcpを選択※1) | udp | マネージャ:Ephemeral | クライアント:30002 |
クライアント:Ephemeral | マネージャ:30002 | |||
tcp | マネージャ:Ephemeral | クライアント:30002 | ||
クライアント:30002 | マネージャ:Ephemeral | |||
30000 | tcp | マネージャ:30000 | クライアント:Ephemeral | |
クライアント:Ephemeral | マネージャ:30000 | |||
サーバ本体機能/リモートインストールマネージャ間※2 | 30001 | tcp | リモートインストールマネージャ:Ephemeral | サーバ本体機能:30001 |
30000 | tcp | リモートインストールマネージャ:Ephemeral | サーバ本体機能:30000 |
注 Ephemeralポートは,通常1024〜5000の中からTCP/IPの自動割り当て範囲内の空きポート番号となります。
注※1 JP1/NETM/DM Managerの設定によってudpまたはtcpのどちらかを選択します。
注※2 「サーバ本体機能」と「リモートインストールマネージャ」を別のPCにインストールした場合が該当します。
Embedded RDBを使用している場合に,「サーバ本体機能」と「リモートインストールマネージャ」を別のPCにインストールしたとき,これらの通信には次の表に示すポートが使用されます。
表6-3 「サーバ本体機能」と「リモートインストールマネージャ」間の通信で使用されるポート番号(Embedded RDBを使用している場合)
通信区間 | ポート番号 | プロトコル | 発信側情報 | 着信側情報 |
---|---|---|---|---|
サーバ本体機能/リモートインストールマネージャ間 | 30000 | tcp | リモートインストールマネージャ:Ephemeral | サーバ本体機能:30000 |
30001 | tcp | リモートインストールマネージャ:Ephemeral | サーバ本体機能:30001 | |
30008 | tcp | リモートインストールマネージャ:Ephemeral | サーバ本体機能:30008 | |
Ephemeral(データベースのクライアント接続) | tcp | リモートインストールマネージャ:Ephemeral | サーバ本体機能:Ephemeral | |
tcp | サーバ本体機能:Ephemeral | リモートインストールマネージャ:Ephemeral |
注 Ephemeralポートは,通常1024〜5000の中からTCP/IPの自動割り当て範囲内の空きポート番号となります。
ファイアウォールを挟んだ環境では,着信側にファイアウォールの通過を設定する必要があります。発信側でのポート設定は不要です。ファイアウォールの通過の設定方法を次に説明します。
「サーバ本体機能」をインストールしたPC側にファイアウォールがある場合,次に示すポートはファイアウォールを通過させる必要があります。
通信区間 | ポート番号 | プロトコル | 発信側情報 | 着信側情報 |
---|---|---|---|---|
サーバ本体機能/リモートインストールマネージャ間 | Ephemeral(データベースのクライアント接続) | tcp | リモートインストールマネージャ:Ephemeral | サーバ本体機能:30009※ |
注※ ポート番号に30009(デフォルト)を設定した場合。
「リモートインストールマネージャ」をインストールしたPC側にファイアウォールがある場合,データベースのクライアントで使用される受信用ポートはファイアウォールを通過させる必要があります。
データベースのクライアントの受信用ポートは,デフォルトではOSが自動でポート番号を割り当てます。なお,受信用ポートは10個以上使用されます。そのため,受信用ポートに使用されるポート番号の範囲を固定して,ファイアウォールの通過を設定する必要があります。
受信用ポートに使用するポート番号の範囲を固定する手順を次に示します。
この設定をしたあと,JP1/NETM/DMが使用するポート番号は次のようになります。
通信区間 | ポート番号 | プロトコル | 発信側情報 | 着信側情報 |
---|---|---|---|---|
サーバ本体機能/リモートインストールマネージャ間 | Ephemeral(データベースのクライアント接続) | tcp | サーバ本体機能:Ephemeral | リモートインストールマネージャ:10000〜10500※ |
注※ ポート番号の範囲に10000〜10500を設定した場合。
データベースのクライアントで使用するポート番号を固定する場合の注意事項を次に示します。
ファイアウォールを使用した場合の注意事項を次に示します。
図6-2 ファイアウォール内に中継システムを設置する場合の構成例
All Rights Reserved. Copyright (C) 2009, 2013, Hitachi, Ltd.
Copyright, patent, trademark, and other intellectual property rights related to the "TMEng.dll" file are owned exclusively by Trend Micro Incorporated.