2.3.2 ファイアウォールと通信に関する基礎知識
ファイアウォールを含むネットワーク環境でJP1を運用する場合,ファイアウォールの機能のうち,次の二つについて対応を検討する必要があります。
-
必要な通信だけを許可し,許可していない不正な通信を防ぐ。
-
IPアドレスを変換し,直接接続できない,異なるアドレスのネットワークと接続する。また,IPアドレスを変換するマシンの存在を外部から隠す。
これらを検討し環境を設定するためには,ファイアウォールが通信を制御する方法を理解する必要があります。
ここでは,パケット・フィルタリングやNATなど,ファイアウォールと通信に関する基礎知識について説明します。ファイアウォールを設定した環境でJP1/AJS3を運用する場合の通信設定については,「2.3.4 ファイアウォールを設定した環境での通信」を参照してください。
- 補足事項
-
ここで説明する内容は,ファイアウォールの基礎を理解していただくための概要です。実際にファイアウォールを設置する場合は,必ずファイアウォールのマニュアルやセキュリティの専門書を参照し,十分に理解した上で,検討や環境設定をしてください。
(1) パケット・フィルタリング
パケット・フィルタリングは,ファイアウォール経由で実施する通信を,特定の通信だけに制限するための機能です。ファイアウォールを通過する通信パケットを一つずつ確認し,あらかじめ指定した通過条件に一致しないパケットを破棄することで,不正な通信がファイアウォールを通過することを防ぎます。これによって,通過条件に指定された通信パケットだけがファイアウォール経由で使用できます。
JP1/AJS3では,パケット・フィルタリングに対応しています。
(a) パケット・フィルタリングを設定するには
パケット・フィルタリングを設定するには,次の作業が必要です。
-
アプリケーションが使用するポート番号など通信の方式を調べる。
ファイアウォールの通過条件として設定するポート番号やIPアドレスおよび通過方向を確認します。
JP1/AJS3の場合,この項での説明と,「付録A 設定するポート番号一覧」の説明を参照して,通信方法を確認してください。
-
ファイアウォールに通過条件を設定する。
すべての通過を禁止してから,特定の通信パケットだけがファイアウォールを通過できるよう通過条件を設定します。
JP1/AJS3の場合,手順1で確認したJP1の通信がファイアウォールを通過できるように設定してください。
(b) JP1/AJS3の場合の設定例
ここでは,JP1/AJS3 - ViewとJP1/AJS3 - Managerの間にファイアウォールがある環境を例に,パケット・フィルタリングの設定について説明します。
- 例:JP1/AJS3 - Viewをファイアウォール経由でJP1/AJS3 - Managerに接続する。
-
-
JP1/AJS3 - Managerは,クラスタではない通常のシステムとする。
-
JP1/AJS3 - ViewのマシンのIPアドレスは100.100.100.10とする。
-
JP1/AJS3 - ManagerのマシンのIPアドレスは200.200.200.20とする。
-
ポート番号は,JP1の標準のポート番号を使う。
図2‒15 JP1/AJS3のパケット・フィルタリングの設定例
-
-
JP1の通信の方法を調べる。
まず,パケット・フィルタリング設定に必要な情報である,JP1の通信の方法を調べます。「2.3.4(2) JP1/AJS3の通信」の説明を参照すると,JP1/AJS3 - Viewが使用するポート番号について次のような表で説明されています。
表2‒5 JP1/AJS3 - ViewとJP1/AJS3 - Managerの間の通信 JP1/AJS3 - View
方向
JP1/AJS3 - Manager
(ANY)
→
20244/tcp(jp1ajs2monitor)
この表は,次のような通信の方法を意味しています。
-
JP1/AJS3 - Managerはポート番号20244を使用し,JP1/AJS3 - Viewからの接続を受け付ける。つまり,JP1/AJS3 - Viewは,JP1/AJS3 - Manager側のポート番号20244に接続する。
-
ポート番号20244は,jp1ajs2monitorというサービス名で定義されている。環境設定でポート番号を20244以外に変更することもできる。
-
JP1/AJS3 - View側のポート番号は,そのときに空いている任意のポート番号(ANY)がOSによって自動的に割り当てられる。
-
接続する方向は,JP1/AJS3 - ViewからJP1/AJS3 - Managerの方向である。この方向は,ネットワークAからネットワークBの方向に接続するときだけファイアウォール通過を許可するなど,通過方向を制限したいときに使う。
-
プロトコルはTCPである。
-
TCPは双方向の通信であるため,行き(JP1/AJS3 - View→JP1/AJS3 - Manager)と帰り(JP1/AJS3 - View←JP1/AJS3 - Manager)の通信がある。行きと帰りの通信パケットでは,送信元(Source)と送信先(Destination)が入れ替わる。
使用するIPアドレスは,JP1/Baseの通信設定に依存します。JP1/Baseの通信設定については,マニュアル「JP1/Base 運用ガイド」を参照してください。
-
-
パケット・フィルタリングを設定する。
確認したJP1/AJS3 - ViewとJP1/AJS3 - Managerの通信の方法を基に,この通信だけがファイアウォールを通過できるように設定します。
パケット・フィルタリングの通過条件は次の表のようになります。
表2‒6 フィルタリング条件の例(JP1/AJS3 - ViewとJP1/AJS3 - Managerの場合) 項番
SourceAddress
DestinationAddress
Protocol
SourcePort
DestinationPort
Control
1
100.100.100.10
200.200.200.20
TCP
(ANY)
20244
accept
2
200.200.200.20
100.100.100.10
TCP
20244
(ANY)
accept
3
(ANY)
(ANY)
(ANY)
(ANY)
(ANY)
reject
この表は,パケットを確認する条件と条件に一致した場合の制御を示しています。
Controlの列は,ファイアウォールがパケットの通過を許可(accept)するか,拒否(reject)するかの指定です。
この表のフィルタリング条件に合わせて,ファイアウォールのパケット・フィルタリングを設定してください。
なお,具体的な設定方法はファイアウォールによって異なります。使用しているファイアウォールのマニュアルを参照してください。
(2) NAT(アドレス変換)
NAT(Network Address Translator)は,プライベートなIPアドレスと,グローバルなIPアドレスとを相互に変換する機能です。アドレス変換をすることで,プライベート側のアドレスが外部から隠され,内部のマシンのセキュリティを高めることができます。
なお,NATは,ファイアウォールだけではなく,ルーターの機能として提供されている場合もあります。
JP1/BaseおよびJP1/AJS3は,スタティック・モード(あらかじめ決められたルールに従ってアドレスを変換する方法)のNAT(アドレス変換)に対応しています。ここでは,スタティック・モードでのアドレス変換だけを説明します。
また,JP1/BaseおよびJP1/AJS3は通信時のホスト名から,一意のホスト名・IPアドレスが決まらない環境では使用できません。そのため,ダイナミック・モード(そのときに空いている番号を割り当てて,自動的にルールを設定および変更する方法)のNATやポート変換機能を含むNAPT(IP Masquerade, NAT+)には対応していません。
(a) NATを設定するには
NATを設定するには,次の作業が必要です。
-
使用するIPアドレスを確認する。
まず,アプリケーションが使用するIPアドレスを確認します。IPアドレスを一つしか使っていないマシンの場合は単純ですが,複数のネットワークアダプターがある(つまり複数のIPアドレスがある)場合や,クラスタシステムで論理IPアドレスを使う場合などは,アプリケーションによってどのIPアドレスを使用するかが異なります。
JP1/AJS3の場合,通常のシステムの場合と,クラスタシステムで論理ホストを設定している場合とで,使用するIPアドレスが異なります。詳細については,マニュアル「JP1/Base 運用ガイド」を参照してください。
-
アドレスの変換ルールを検討し設定する。
アプリケーションが使用するIPアドレスが確認できたら,変換後のIPアドレスを決めます。
アドレスの変更ルールが決まったら,NATに設定します。
(b) JP1/AJS3の場合の設定例
ここでは,JP1/AJS3 - ViewとJP1/AJS3 - Managerの間にファイアウォールがある環境を例に,JP1の場合の,NATの設定について説明します。
- 例:JP1/AJS3 - Viewからアドレス変換したJP1/AJS3 - Managerに接続する。
-
-
JP1/AJS3 - Managerは,クラスタではない通常のシステムとする。
-
JP1/AJS3 - ViewのマシンのIPアドレスは100.100.100.10とする。
-
JP1/AJS3 - ManagerのマシンのIPアドレスは150.150.150.15とする。
このJP1/AJS3 - ManagerのIPアドレスを200.200.200.20に変換する。
JP1/AJS3 - Viewからは変換後の200.200.200.20に接続する。
-
|
-
使用するIPアドレスを確認する。
NATの設定に必要な情報である,JP1が使用するIPアドレスを調べます。今回の例では,通常のシステムのためホスト名(hostnameの結果)に対応するIPアドレスを使って通信します。
-
アドレス変換ルールを検討し設定する。
JP1/AJS3 - ManagerのマシンのIPアドレスをNATによって150.150.150.15から200.200.200.20へアドレス変換するよう変換ルールを決めます。
表2‒7 アドレス変換ルール例(150.150.150.15を200.200.200.20に変換する場合) 項番
SourceAddress
DestinationAddress
SourceAddress(Transrated)
DestinationAddress(Transrated)
1
(ANY)
200.200.200.20
(ANY)
150.150.150.15
2
150.150.150.15
(ANY)
200.200.200.20
(ANY)
この表は,元のパケットと,アドレス変換したパケット(Transrated)との対応を示しています。
このアドレス変換ルールをファイアウォールのNAT設定に定義します。
なお,具体的な設定方法はファイアウォールやルーターによって異なるため,使用している製品のマニュアルを参照してください。
JP1/AJS3 - Viewがアクセスするのは,実際のJP1/AJS3 - Managerのマシンのアドレス(150.150.150.15)ではなく,アドレス変換したあとのアドレス(200.200.200.20)となります。
このため,JP1/AJS3 - Viewからは,あたかもアドレス(200.200.200.20)のホストJP1/AJS3 - Managerにアクセスしているように見えます。
(3) ファイアウォール環境で運用するJP1の通信設定
ファイアウォールを経由するネットワーク環境でJP1を運用する場合は,JP1の通信方式をIPバインド方式に設定することの検討と,複数LAN接続の設定による影響を考慮してください。
ファイアウォール環境でJP1を運用するには,これまで説明したようにパケット・フィルタリングやNATに,IPアドレスとポート番号による条件を設定する必要があります。このため,JP1が使用するIPアドレスを明確にする必要があり,JP1の使用するIPアドレスがJP1の設定によって決められるIPバインド方式が適しています。
例えば,JP1を実行するサーバが,複数のLANに接続されている構成やクラスタシステム構成では,使用するIPアドレスがOSによって決められるため,ユーザーの意図しないIPアドレスが使われることがあります。この場合は,JP1の通信方式をIPバインド方式に設定し,JP1の環境設定で指定したIPアドレスを使って通信することで対処できます。