JP1/Integrated Management - Manager システム構築・運用ガイド

14.3.1　ファイアウォールの基礎知識

ファイアウォール環境での運用について説明する前に，まず，ファイアウォールの基礎知識について説明します。

ファイアウォールを含むネットワーク環境でJP1を運用する場合，ファイアウォールの機能のうち，次の二つについて対応を検討する必要があります。

パケット・フィルタリング（アクセスの制限）
必要な通信だけを許可し，許可していない不正な通信を防ぐ。

NAT（アドレスの変換）
IPアドレスを変換し，直接接続できない異なるアドレスのネットワークと接続する。また，IPアドレスを変換するマシンの存在を外部から隠す。

これらを検討し環境を設定するためには，ファイアウォールが通信を制御する方法を理解する必要があります。

注意

ここで説明する内容は，ファイアウォールの基礎を理解していただくための概要であり，実際にファイアウォールの検討や設定をするためには十分ではありません。実際にファイアウォールを設置する場合は，必ずファイアウォールのマニュアルやセキュリティの専門書を参照し十分に理解したうえで，検討や環境設定をしてください。

＜この項の構成＞

(1)　パケット・フィルタリング

(2)　NAT（アドレス変換）

(3)　ファイアウォール環境での運用するJP1の通信設定

(1)　パケット・フィルタリング

パケット・フィルタリングは，ファイアウォール経由で使用できるアプリケーションを，特定のアプリケーションだけに制限するための機能です。ファイアウォールを通過する通信パケットを一つずつ確認し，あらかじめ指定した通過条件に一致しないパケットを破棄することで，不正な通信がファイアウォールを通過することを防ぎます。これによって，通過条件に指定されたアプリケーションだけがファイアウォール経由で使用できます。

JP1/IMは，パケット・フィルタリングに対応しています。

(a)　パケット・フィルタリングを設定するには

パケット・フィルタリングを設定するには，次の作業が必要です。

アプリケーションが使用するポート番号など通信の方式を調べる。
ファイアウォールの通過条件として設定するポート番号やIPアドレスおよび通過方向を確認します。
JP1/IMの場合，この章の説明と「付録C　ポート番号」の説明を参照して，通信方法を確認してください。

ファイアウォールに通過条件を設定する。
まず，すべての通過を禁止してから，特定のアプリケーションの通信だけがファイアウォールを通過できるよう通過条件を設定します。
JP1/IMの場合，先の手順で確認したJP1/IMの通信がファイアウォールを通過できるように設定してください。

(b)　JP1/IMの場合の設定例

ここでは，JP1/IM - ViewとJP1/IM - Managerの間にファイアウォールがある環境を例に，パケット・フィルタリングの設定について説明します。

例：JP1/IM - Viewをファイアウォール経由でJP1/IM - Managerに接続する。

JP1/IM - ViewのマシンのIPアドレスは192.168.19.37とする。

JP1/IM - ManagerのマシンのIPアドレスは172.16.100.24とする。

ポート番号は，JP1の標準のポート番号を使う。

　

図14-5　パケット・フィルタリングの設定例

JP1の通信の方法を調べる。
まず，パケット・フィルタリング設定に必要な情報である，JP1の通信の方法を調べます。「付録C.2　ファイアウォールの通過方向」の説明を参照すると，JP1/IMが使用するポート番号について以下のような表で説明されています。

表14-9　ファイアウォールの通過方向

項番サービス名ポート番号ファイアウォールの通過方向

1 jp1imevtcon 20115/tcp JP1/IM - View → JP1/IM - Manager（JP1/IM - Central Console）

2 jp1imcmda 20238/tcp JP1/IM - View → JP1/IM - Manager（JP1/IM - Central Console）
JP1/IM - Manager（JP1/IM - Central Console） → JP1/Base^※1

3 jp1imcss 20305/tcp JP1/IM - View → JP1/IM - Manager（JP1/IM - Central Scope）

4 jp1cmnaming 22301/tcp
JP1/IM - View → JP1/IM - Central Information Master

5 jp1cmsessmgr 22302/tcp

6 jp1cmobjprov 22303/tcp

7 jp1cminfocol 22304/tcp

8 jp1imidm 23044/tcp JP1/IM - Manager（JP1/IM - Central Console） → JP1/IM - Incident Master

9 jp1imeds 23045/tcp JP1/IM - Managerがインストールされたマシン内だけの通信となるため，ファイアウォールの設定は不要

10 jp1imegs 20383/tcp JP1/IM - Managerがインストールされたマシン内だけの通信となるため，ファイアウォールの設定は不要

11 jp1rmregistry 20380/tcp JP1/IM - View → JP1/IM - Rule Operation

12 jp1rmobject 20381/tcp

13 http 80/tcp^※2 WWWページ版のJP1/IM - View（WWWブラウザー） → HTTPサーバ

注※1　マネージャーホストのJP1/Baseが対象です。

注※2　HTTPサーバの設定によっては異なる場合があります。

この表は，次のような通信の方法を意味しています。

サービス名とポート番号の欄
JP1が通信で使用するサービス名とポート番号です。JP1/IM - ViewとJP1/IM - Managerの通信は，ポート番号20115（サービス名jp1imevtcon），ポート番号20238（サービス名jp1imcmda），およびポート番号20305（サービス名jp1imcss）を使い，通信のプロトコルはTCPであることがわかります。

ファイアウォールの通過方向の欄
この欄は，接続開始時（コネクション確立時）の通信方向を意味しており，表中の矢印に接続します。接続開始時の方向は，ファイアウォール通過を許可する方向を制限したい時に必要な情報です。例えば，この表の項番1からは，JP1/IM - ViewからJP1/IM - Manager（JP1/IM - Central Console）への方向で接続することがわかります。

その他
表には直接書かれていませんが，表の情報とTCPの通信の仕様から考えると次のことがわかります。
TCPは双方向の通信であるため，行き（JP1/IM - View→JP1/IM - Manager）と帰り（JP1/IM - View←JP1/IM - Manager）の通信があります。通信での行きと帰りのパケットでは，送信元IPアドレス（Source IPアドレス）と送信先IPアドレス（Destination IPアドレス）が入れ替わります。

パケット・フィルタリングを設定する。
確認したJP1/IM - ViewとJP1/IM - Managerの通信の方法を基に，この通信だけがファイアウォールを通過できるように設定します。
パケット・フィルタリングの通過条件は次のようになります。

（例）フィルタリング条件：JP1/IM - ViewとJP1/IM - Managerの場合

表14-10　パケット・フィルタリングの通過条件

項番 Source
Address Destination
Address Protocol Source
Port Destination
Port Control

1 192.168.19.37 172.16.100.24 TCP (ANY) 20115 accept

2 192.168.19.37 172.16.100.24 TCP (ANY) 20238 accept

3 192.168.19.37 172.16.100.24 TCP (ANY) 20305 accept

4 172.16.100.24 192.168.19.37 TCP 20115 (ANY) accept

5 172.16.100.24 192.168.19.37 TCP 20238 (ANY) accept

6 172.16.100.24 192.168.19.37 TCP 20305 (ANY) accept

7 (ANY) (ANY) (ANY) (ANY) (ANY) reject

　
この表は，パケットを確認する条件と条件に一致した場合の制御を示しています。
Controlの列は，ファイアウォールがパケットの通過を許可（accept）するか，拒否（reject）するかの指定です。（ANY）は，OSにより割り当てられる任意の空きポート番号が使うという意味です。
この表のフィルタリング条件に合わせて，ファイアウォールのパケット・フィルタリングを設定します。
なお，具体的な設定方法はファイアウォールによって異なります。ご使用のファイアウォールのマニュアルを参照してください。

項番	サービス名	ポート番号	ファイアウォールの通過方向
1	jp1imevtcon	20115/tcp	JP1/IM - View → JP1/IM - Manager（JP1/IM - Central Console）
2	jp1imcmda	20238/tcp	JP1/IM - View → JP1/IM - Manager（JP1/IM - Central Console） JP1/IM - Manager（JP1/IM - Central Console） → JP1/Base^※1
3	jp1imcss	20305/tcp	JP1/IM - View → JP1/IM - Manager（JP1/IM - Central Scope）
4	jp1cmnaming	22301/tcp	JP1/IM - View → JP1/IM - Central Information Master
5	jp1cmsessmgr	22302/tcp
6	jp1cmobjprov	22303/tcp
7	jp1cminfocol	22304/tcp
8	jp1imidm	23044/tcp	JP1/IM - Manager（JP1/IM - Central Console） → JP1/IM - Incident Master
9	jp1imeds	23045/tcp	JP1/IM - Managerがインストールされたマシン内だけの通信となるため，ファイアウォールの設定は不要
10	jp1imegs	20383/tcp	JP1/IM - Managerがインストールされたマシン内だけの通信となるため，ファイアウォールの設定は不要
11	jp1rmregistry	20380/tcp	JP1/IM - View → JP1/IM - Rule Operation
12	jp1rmobject	20381/tcp
13	http	80/tcp^※2	WWWページ版のJP1/IM - View（WWWブラウザー） → HTTPサーバ

項番	Source Address	Destination Address	Protocol	Source Port	Destination Port	Control
1	192.168.19.37	172.16.100.24	TCP	(ANY)	20115	accept
2	192.168.19.37	172.16.100.24	TCP	(ANY)	20238	accept
3	192.168.19.37	172.16.100.24	TCP	(ANY)	20305	accept
4	172.16.100.24	192.168.19.37	TCP	20115	(ANY)	accept
5	172.16.100.24	192.168.19.37	TCP	20238	(ANY)	accept
6	172.16.100.24	192.168.19.37	TCP	20305	(ANY)	accept
7	(ANY)	(ANY)	(ANY)	(ANY)	(ANY)	reject

(2)　NAT（アドレス変換）

NAT（Network Address Translator：アドレス変換）は，プライベートなIPアドレスと，グローバルなIPアドレスとを相互に変換する機能です。アドレス変換をすることで，プライベート側のアドレスが外部から隠され，内部のマシンのセキュリティを高めることができます。なお，NATは，ファイアウォールだけではなく，ルーターの機能として提供されている場合もあります。

JP1は，スタティック・モード（あらかじめ決められたルールに従ってアドレスを変換する方法）のNATにだけ対応しています。

(a)　NATを設定するには

NATを設定するには，次の作業が必要です。

使用するIPアドレスを確認する。
まず，アプリケーションが使用するIPアドレスを確認します。IPアドレスを一つしか使っていないマシンの場合は単純ですが，複数のネットワークアダプターがある（つまり複数のIPアドレスがある）場合や，クラスタシステムで論理IPアドレスを使う場合などは，アプリケーションによってどのIPアドレスを使用するかが異なります。
JP1/IMの場合，JP1/Baseで通信の設定をしている場合や，クラスタ運用で論理IPアドレスを使用する場合など，設定によって使用するIPアドレスが異なります。

アドレスの変換ルールを検討し設定する。
アプリケーションが使用するIPアドレスが確認できたら，変換後のIPアドレスを決めます。
アドレスの変更ルールが決まったら，NATに設定します。

(b)　JP1/IMの場合の設定例

ここでは，JP1/IM - ViewとJP1/IM - Managerの間にファイアウォールがある環境を例に，NATの設定について説明します。

　

例：JP1/IM - Viewからアドレス変換したJP1/IM - Managerに接続する。

JP1/IM - ViewのマシンのIPアドレスは 192.168.19.37とする。

JP1/IM - ManagerのマシンのIPアドレスは 172.16.100.24とする。
このJP1/IM - ManagerのIPアドレスを，JP1/IM - Manager’のIPアドレス 192.168.100.24に変換する。
JP1/IM - Viewからは変換後の192.168.100.24に接続する。

　

図14-6　NATの設定例

（注意：これはNATでのアドレス変換の例であり，ほかの変換方法の場合もあります）

使用するIPアドレスを確認する。
まず，NATの設定に必要な情報である，JP1が使用するIPアドレスを調べます。
今回の例では，ホスト名(hostnameの結果)に対応するIPアドレスを使って通信します。

アドレス変換ルールを検討し設定する。
JP1/IM - ManagerのマシンのIPアドレスをNATによって172.16.100.24から192.168.100.24へアドレス変換するよう変換ルールを決めます。
　

（例）アドレス変換ルール：172.16.100.24を192.168.100.24に変換

表14-11　アドレス変換ルール

項番 Source
Address Destination
Address Source
Address
(Transrated) Destination
Address
(Transrated)

1 (ANY) 192.168.100.24 (ANY) 172.16.100.24

2 172.16.100.24 (ANY) 192.168.100.24 (ANY)

この表は，元のパケットと，アドレス変換したパケット（Transrated）との対応を示しています。
このアドレス変換ルールをファイアウォールのNAT設定に定義します。
なお，具体的な設定方法はファイアウォールやルーターによって異なりますので，ご使用の製品のマニュアルを参照してください。

JP1/IM - Viewがアクセスするのは，実際のJP1/IM - Managerのマシンのアドレス（172.16.100.24）ではなく，アドレス変換した後のアドレス（192.168.100.24）となります。

このため，JP1/IM - Viewからは，あたかもアドレス（192.168.100.24）のホストJP1/IM - Manager’にアクセスしているように見えます。

項番	Source Address	Destination Address	Source Address (Transrated)	Destination Address (Transrated)
1	(ANY)	192.168.100.24	(ANY)	172.16.100.24
2	172.16.100.24	(ANY)	192.168.100.24	(ANY)

(3)　ファイアウォール環境での運用するJP1の通信設定

ファイアウォールを経由するネットワーク環境でJP1を運用する場合は，JP1の通信方式をIPバインド方式に設定することと，複数LAN接続の設定による影響を考慮してください。

ファイアウォール環境でJP1を運用するには，これまで説明したようにパケット・フィルタリングやNATに，IPアドレスとポート番号による条件を設定する必要があります。

このため，JP1が使用するIPアドレスを明確にする必要があり，JP1の使用するIPアドレスがJP1の設定によって決められるIPバインド方式が適しています。

例えば，JP1を実行するサーバが，複数のLANに接続されている構成やクラスタシステム構成では，使用するIPアドレスがOSによって決められる場合があり，意図しないIPアドレスが使われることがあります。この場合は，JP1の通信方式をIPバインド方式に設定し，JP1の環境設定で指定したIPアドレスを使って通信することで対処できます。

[目次][前へ][次へ]

[他社商品名称に関する表示]

14.3.1 ファイアウォールの基礎知識

14.3.1　ファイアウォールの基礎知識