2.3.2 ファイアウォール透過
JP1/AJS3では,ファイアウォールを挟んでJP1/AJS3 - Manager,JP1/AJS3 - Agent,またはJP1/AJS3 - Viewを接続するシステム構成に対応しています。
ファイアウォールを設定した環境でJP1/AJS3を運用する場合の通信設定については,「2.3.5 ファイアウォールを設定した環境の構成例と通信設定」を参照してください。
ファイアウォールを設定したシステム構成例を次の図に示します。
(1) ファイアウォールの基礎知識
ファイアウォールを含むネットワーク環境でJP1を運用する場合,ファイアウォールの機能のうち,次の二つについて対応を検討する必要があります。
-
必要な通信だけを許可し,許可していない不正な通信を防ぐ。
-
IPアドレスを変換し,直接接続できない,異なるアドレスのネットワークと接続する。また,IPアドレスを変換するマシンの存在を外部から隠す。
これらを検討し環境を設定するためには,ファイアウォールが通信を制御する方法を理解する必要があります。
まず,ここではパケット・フィルタリングやNATなどについての基礎的な知識について説明します。
- 補足事項
-
ここで説明する内容は,ファイアウォールの基礎を理解していただくための概要です。実際にファイアウォールを設置する場合は,必ずファイアウォールのマニュアルやセキュリティの専門書を参照し,十分に理解した上で,検討や環境設定をしてください。
(a) パケット・フィルタリング
パケット・フィルタリングは,ファイアウォール経由で実施する通信を,特定の通信だけに制限するための機能です。ファイアウォールを通過する通信パケットを一つずつ確認し,あらかじめ指定した通過条件に一致しないパケットを破棄することで,不正な通信がファイアウォールを通過することを防ぎます。これによって,通過条件に指定された通信パケットだけがファイアウォール経由で使用できます。
JP1/AJS3では,パケット・フィルタリングに対応しています。
■ パケット・フィルタリングを設定するには
パケット・フィルタリングを設定するには,次の作業が必要です。
-
アプリケーションが使用するポート番号など通信の方式を調べる。
ファイアウォールの通過条件として設定するポート番号やIPアドレスおよび通過方向を確認します。
JP1/AJS3の場合,この項での説明と,「付録A 設定するポート番号一覧」の説明を参照して,通信方法を確認してください。
-
ファイアウォールに通過条件を設定する。
すべての通過を禁止してから,特定の通信パケットだけがファイアウォールを通過できるよう通過条件を設定します。
JP1/AJS3の場合,手順1で確認したJP1の通信がファイアウォールを通過できるように設定してください。
■ JP1/AJS3の場合の設定例
ここでは,JP1/AJS3 - ViewとJP1/AJS3 - Managerの間にファイアウォールがある環境を例に,パケット・フィルタリングの設定について説明します。
- 例:JP1/AJS3 - Viewをファイアウォール経由でJP1/AJS3 - Managerに接続する。
-
-
JP1/AJS3 - Managerは,クラスタではない通常のシステムとする。
-
JP1/AJS3 - ViewのマシンのIPアドレスは100.100.100.10とする。
-
JP1/AJS3 - ManagerのマシンのIPアドレスは200.200.200.20とする。
-
ポート番号は,JP1の標準のポート番号を使う。
図2‒17 JP1/AJS3のパケット・フィルタリングの設定例
-
-
JP1の通信の方法を調べる。
まず,パケット・フィルタリング設定に必要な情報である,JP1の通信の方法を調べます。「(3) JP1/AJS3の通信」の説明を参照すると,JP1/AJS3 - Viewが使用するポート番号について次のような表で説明されています。
表2‒5 JP1/AJS3 - ViewとJP1/AJS3 - Managerの間の通信 JP1/AJS3 - View
方向
JP1/AJS3 - Manager
(ANY)
→
20244/tcp(jp1ajs2monitor)
この表は,次のような通信の方法を意味しています。
-
JP1/AJS3 - Managerはポート番号20244を使用し,JP1/AJS3 - Viewからの接続を受け付ける。つまり,JP1/AJS3 - Viewは,JP1/AJS3 - Manager側のポート番号20244に接続する。
-
ポート番号20244は,jp1ajs2monitorというサービス名で定義されている。環境設定でポート番号を20244以外に変更することもできる。
-
JP1/AJS3 - View側のポート番号は,そのときに空いている任意のポート番号(ANY)がOSによって自動的に割り当てられる。
-
接続する方向は,JP1/AJS3 - ViewからJP1/AJS3 - Managerの方向である。この方向は,ネットワークAからネットワークBの方向に接続するときだけファイアウォール通過を許可するなど,通過方向を制限したいときに使う。
-
プロトコルはTCPである。
-
TCPは双方向の通信であるため,行き(JP1/AJS3 - View→JP1/AJS3 - Manager)と帰り(JP1/AJS3 - View←JP1/AJS3 - Manager)の通信がある。行きと帰りの通信パケットでは,送信元(Source)と送信先(Destination)が入れ替わる。
使用するIPアドレスは,JP1/Baseの通信設定に依存します。JP1/Baseの通信設定については,マニュアル「JP1/Base 運用ガイド」を参照してください。
-
-
パケット・フィルタリングを設定する。
確認したJP1/AJS3 - ViewとJP1/AJS3 - Managerの通信の方法を基に,この通信だけがファイアウォールを通過できるように設定します。
パケット・フィルタリングの通過条件は次の表のようになります。
表2‒6 フィルタリング条件の例(JP1/AJS3 - ViewとJP1/AJS3 - Managerの場合) 項番
SourceAddress
DestinationAddress
Protocol
SourcePort
DestinationPort
Control
1
100.100.100.10
200.200.200.20
TCP
(ANY)
20244
accept
2
200.200.200.20
100.100.100.10
TCP
20244
(ANY)
accept
3
(ANY)
(ANY)
(ANY)
(ANY)
(ANY)
reject
この表は,パケットを確認する条件と条件に一致した場合の制御を示しています。
Controlの列は,ファイアウォールがパケットの通過を許可(accept)するか,拒否(reject)するかの指定です。
この表のフィルタリング条件に合わせて,ファイアウォールのパケット・フィルタリングを設定してください。
なお,具体的な設定方法はファイアウォールによって異なります。使用しているファイアウォールのマニュアルを参照してください。
(b) NAT(アドレス変換)
NAT(Network Address Translator)は,プライベートなIPアドレスと,グローバルなIPアドレスとを相互に変換する機能です。アドレス変換をすることで,プライベート側のアドレスが外部から隠され,内部のマシンのセキュリティを高めることができます。
なお,NATは,ファイアウォールだけではなく,ルーターの機能として提供されている場合もあります。
JP1/BaseおよびJP1/AJS3は,スタティック・モード(あらかじめ決められたルールに従ってアドレスを変換する方法)のNAT(アドレス変換)に対応しています。ここでは,スタティック・モードでのアドレス変換だけを説明します。
また,JP1/BaseおよびJP1/AJS3は通信時のホスト名から,一意のホスト名・IPアドレスが決まらない環境では使用できません。そのため,ダイナミック・モード(そのときに空いている番号を割り当てて,自動的にルールを設定および変更する方法)のNATやポート変換機能を含むNAPT(IP Masquerade, NAT+)には対応していません。
■ NATを設定するには
NATを設定するには,次の作業が必要です。
-
使用するIPアドレスを確認する。
まず,アプリケーションが使用するIPアドレスを確認します。IPアドレスを一つしか使っていないマシンの場合は単純ですが,複数のネットワークアダプターがある(つまり複数のIPアドレスがある)場合や,クラスタシステムで論理IPアドレスを使う場合などは,アプリケーションによってどのIPアドレスを使用するかが異なります。
JP1/AJS3の場合,通常のシステムの場合と,クラスタシステムで論理ホストを設定している場合とで,使用するIPアドレスが異なります。詳細については,マニュアル「JP1/Base 運用ガイド」を参照してください。
-
アドレスの変換ルールを検討し設定する。
アプリケーションが使用するIPアドレスが確認できたら,変換後のIPアドレスを決めます。
アドレスの変更ルールが決まったら,NATに設定します。
■ JP1/AJS3の場合の設定例
ここでは,JP1/AJS3 - ViewとJP1/AJS3 - Managerの間にファイアウォールがある環境を例に,JP1の場合の,NATの設定について説明します。
- 例:JP1/AJS3 - Viewからアドレス変換したJP1/AJS3 - Managerに接続する。
-
-
JP1/AJS3 - Managerは,クラスタではない通常のシステムとする。
-
JP1/AJS3 - ViewのマシンのIPアドレスは100.100.100.10とする。
-
JP1/AJS3 - ManagerのマシンのIPアドレスは150.150.150.15とする。
このJP1/AJS3 - ManagerのIPアドレスを200.200.200.20に変換する。
JP1/AJS3 - Viewからは変換後の200.200.200.20に接続する。
-
-
使用するIPアドレスを確認する。
NATの設定に必要な情報である,JP1が使用するIPアドレスを調べます。今回の例では,通常のシステムのためホスト名(hostnameの結果)に対応するIPアドレスを使って通信します。
-
アドレス変換ルールを検討し設定する。
JP1/AJS3 - ManagerのマシンのIPアドレスをNATによって150.150.150.15から200.200.200.20へアドレス変換するよう変換ルールを決めます。
表2‒7 アドレス変換ルール例(150.150.150.15を200.200.200.20に変換する場合) 項番
SourceAddress
DestinationAddress
SourceAddress(Transrated)
DestinationAddress(Transrated)
1
(ANY)
200.200.200.20
(ANY)
150.150.150.15
2
150.150.150.15
(ANY)
200.200.200.20
(ANY)
この表は,元のパケットと,アドレス変換したパケット(Transrated)との対応を示しています。
このアドレス変換ルールをファイアウォールのNAT設定に定義します。
なお,具体的な設定方法はファイアウォールやルーターによって異なるため,使用している製品のマニュアルを参照してください。
JP1/AJS3 - Viewがアクセスするのは,実際のJP1/AJS3 - Managerのマシンのアドレス(150.150.150.15)ではなく,アドレス変換したあとのアドレス(200.200.200.20)となります。
このため,JP1/AJS3 - Viewからは,あたかもアドレス(200.200.200.20)のホストJP1/AJS3 - Managerにアクセスしているように見えます。
(c) ファイアウォール環境で運用するJP1の通信設定
ファイアウォールを経由するネットワーク環境でJP1を運用する場合は,JP1の通信方式をIPバインド方式に設定することの検討と,複数LAN接続の設定による影響を考慮してください。
ファイアウォール環境でJP1を運用するには,これまで説明したようにパケット・フィルタリングやNATに,IPアドレスとポート番号による条件を設定する必要があります。このため,JP1が使用するIPアドレスを明確にする必要があり,JP1の使用するIPアドレスがJP1の設定によって決められるIPバインド方式が適しています。
例えば,JP1を実行するサーバが,複数のLANに接続されている構成やクラスタシステム構成では,使用するIPアドレスがOSによって決められるため,ユーザーの意図しないIPアドレスが使われることがあります。この場合は,JP1の通信方式をIPバインド方式に設定し,JP1の環境設定で指定したIPアドレスを使って通信することで対処できます。
(3) JP1/AJS3の通信
JP1/AJS3の通信について,ポート番号,IPアドレス,アドレス変換(NAT)の対応を説明します。
(a) ポート番号
■ JP1/AJS3のポート番号
JP1/AJS3では次のポート番号を使用します。このほかに,前提製品であるJP1/Baseのポート番号も使用します。
JP1/AJS3のポート番号については,「付録A.1 ポート番号一覧」を参照してください。
■ 主なシステム構成と通信
次に主なシステム構成で使用するポート番号と通信の方向を説明します。
なお,ここでの説明とあわせて,次のマニュアルの記述を参照してください。
- 参照個所
-
-
マニュアル「JP1/Base 運用ガイド」のファイアウォールの通過方向の説明
-
- 注意事項
-
ファイアウォールのホストでJP1を使用する場合,自ホスト内の通信については,JP1が使うすべてのポートを通過できるよう設定してください。これは,自ホスト内の処理でもJP1のプロセス同士の通信にポートを使用するためです。
図2‒19 システム構成例
-
HOST-M1に,HOST-VのJP1/AJS3 - Viewで接続する。
-
HOST-M1とHOST-M2は,相互にジョブを実行する。
-
HOST-M1のエージェントとして,HOST-Aを設定する。
-
HOST-M1の認証サーバを,HOST-AUTHに設定する。
JP1/AJS3 - View |
方向 |
JP1/AJS3 - Manager |
---|---|---|
(ANY) |
→ |
20244/tcp(jp1ajs2monitor) |
(システム構成例:HOST-VとHOST-M1に対応)
JP1/AJS3 - Manager |
方向 |
JP1/AJS3 - Manager |
---|---|---|
(ANY) |
→ |
20241/tcp(jp1ajs2qman) 20242/tcp(jp1ajs2qagt) 20243/tcp(jp1ajs2qnfy) 20244/tcp(jp1ajs2monitor) 20245/tcp(jp1ajs2report) 20246/tcp(jp1ajs2eamgr) 20247/tcp(jp1ajs2eaagt) 20300/tcp(jp1ajs2qlagt) 20301/tcp(jp1ajs2qlftp) 23139/tcp(jp1ajs2chkagt) 23160/tcp(jp1ajs2gw) |
20241/tcp(jp1ajs2qman) 20242/tcp(jp1ajs2qagt) 20243/tcp(jp1ajs2qnfy) 20244/tcp(jp1ajs2monitor) 20245/tcp(jp1ajs2report) 20246/tcp(jp1ajs2eamgr) 20247/tcp(jp1ajs2eaagt) 20300/tcp(jp1ajs2qlagt) 20301/tcp(jp1ajs2qlftp) 23139/tcp(jp1ajs2chkagt) 23160/tcp(jp1ajs2gw) |
← |
(ANY) |
(システム構成例:HOST-M1とHOST-M2に対応)
JP1/AJS3 - ManagerとJP1/AJS3 - Managerの間の通信です。
JP1/AJS3 - Manager |
方向 |
JP1/AJS3 - Agent |
---|---|---|
(ANY) |
→ |
20242/tcp(jp1ajs2qagt) 20247/tcp(jp1ajs2eaagt) 20300/tcp(jp1ajs2qlagt) 23139/tcp(jp1ajs2chkagt) |
20241/tcp(jp1ajs2qman) 20243/tcp(jp1ajs2qnfy) 20246/tcp(jp1ajs2eamgr) 20301/tcp(jp1ajs2qlftp) |
← |
(ANY) |
(システム構成例:HOST-M1とHOST-Aに対応)
JP1/AJS3 - Manager |
方向 |
JP1/Base |
---|---|---|
(ANY) |
→ |
20240/tcp(jp1bsuser) |
(システム構成例:HOST-M1とHOST-AUTHに対応)
Outlookを使用しないでメールシステム連携を行う場合の,JP1/AJS3とメールサーバ間の通信を次の表に示します。
JP1/AJS3 |
方向 |
メールサーバ |
---|---|---|
(ANY) |
→ |
25/tcp(smtp) |
(ANY) |
→ |
110/tcp(pop3) |
(ANY) |
→ |
587/tcp(Submission Port) |
また,その他の構成として他プログラムを使う場合に行われる通信を次の表に示します。
JP1/AJS3 - Manager |
方向 |
他プログラム |
---|---|---|
(ANY) |
→ |
20241/tcp(jp1ajs2qman) |
20241/tcp(jp1ajs2qman) 20245/tcp(jp1ajs2report) |
← |
(ANY) |
他プログラムとは,JP1/NQSEXEC,およびJP1/OJE for VOS3のことです。
JP1/AJS3 Console機能を使う場合に行われる通信を次の二つの表に示します。
JP1/AJS3 Console View |
方向 |
JP1/AJS3 Console Manager |
---|---|---|
(ANY) |
→ |
22275/tcp(jp1ajs2cm) |
JP1/AJS3 Console Manager |
方向 |
JP1/AJS3 Console Agent |
---|---|---|
(ANY) |
→ |
22276/tcp(jp1ajs2ca) |
(b) IPアドレス
JP1/AJS3が使うIPアドレスは,JP1/Baseが使うIPアドレスに準じます。詳しくは,マニュアル「JP1/Base 運用ガイド」を参照してください。
なお,バージョン互換のため,イベントジョブの実行で使用する送信側IPアドレスだけJP1/Baseが使う送信側IPアドレスに準ずるか,受信側IPアドレスに準ずるかを選択できます。
(c) アドレス変換(NAT)の対応
JP1/AJS3は,スタティック・モードでのアドレス変換(NAT)に対応しています。
- 注意事項
-
エージェントとマネージャー間の通信でNATを使用している場合,定義内容の事前チェックでは実行エージェント名のチェック項目を正しくチェックできません。