7.11. VM間ファイアウォール

 VM間ファイアウォールは、仮想サーバー間の通信を制御するサービスです。

7.11.1. 利用できる機能

 VM間ファイアウォールでは以下の機能を利用できます。
機能 概要
VM間ファイアウォール 対象の仮想サーバーにおける通信を制御する機能。

7.11.2. VM間ファイアウォール

 IPパケットの制御ルール(ファイアウォールルール)を指定する機能です。フィルタ条件に合致したIPパケットの通過を許可したり拒否したりすることができます。
 1つの制御ルール(ファイアウォールルール)ごとに、以下の条件を指定できます。
項目 概要
処理内容 以下の項目で設定した条件に一致したIPパケットの通過について、許可または拒否を指定します。
パケット方向 対象の仮想サーバーから送信するIPパケットか、受信するIPパケットかを指定します。
フレーム種別 「IP」、「ARP」、「その他」のいずれかを指定します。
プロトコル IPパケットのプロトコルを、「ICMP」、「TCP」、「UDP」のいずれかから指定します。
送信元IPアドレス
IPパケットの送信元のIPアドレスを、IPアドレスおよびサブネットマスクで指定します。
複数のIPアドレスを指定したり、IPアドレスを範囲で指定したりできます。
送信元ポート番号 IPパケットの送信元のポート番号を指定します。
送信先IPアドレス
IPパケットの送信先のIPアドレスを、IPアドレスおよびサブネットマスクを指定します。
複数のIPアドレスを指定したり、IPアドレスを範囲で指定したりできます。
送信先ポート番号 IPパケットの送信先ポート番号を指定します。

重要

  • VM間ファイアウォールでは、サービス仕様上必ず許可が必要なルールが存在します。詳しくは、VM間ファイアウォールのパラメータシートをご確認ください。

7.11.3. 注意事項

仮想サーバーのシステム要件
 VM間ファイアウォールのエージェントソフトウェアが動作するシステム要件(メモリー容量、ディスク容量、OS)は、以下のとおりです。
項目 概要
メモリー容量 512 MB以上
ディスク容量 1 GB以上
OS Enterprise Cloud サービスで利用可能なOSのうち、別紙「ウイルス対策/仮想パッチ/VM間ファイアウォール対応OS一覧」に記載のあるOS

重要

  • Linux OSの場合は、カーネルのバージョン確認が必要です。
  • VM間ファイアウォールをご利用になる場合は、OS上にてIPv6の設定を正しく有効または無効にしてください。
エージェントソフトウェアのインストール
 VM間ファイアウォールを利用するには、仮想サーバー上にエージェントソフトウェアをアップロードして、インストールします。詳しくは、エージェントソフトウェアインストールガイドを参照してください。

重要

  • VM間ファイアウォールは、ウイルス対策(VM)以外のウイルス対策ソフトウェアと同時に利用することはできません。VM間ファイアウォールのエージェントソフトウェアをインストールする前に、必ず他のウイルス対策ソフトウェアをアンインストールしてください。
  • エージェントソフトウェアを仮想サーバー上にアップロードする場合、ISOイメージファイル、またはCD/DVDドライブでのマウントによるアップロードは実施しないでください。
  • エージェントソフトウェアをインストールする仮想サーバーは、NTPなどで時刻同期を行ってください。時刻の同期がとれていない場合、エージェントソフトウェアの有効化に失敗する場合があります。
  • エージェントソフトウェアの待ち受けポートとして4118ポートを使用します。このポート番号は変更不可のため、エージェントソフトウェアをインストールする仮想サーバーでは他のアプリケーションと重複しないことを確認の上、利用してください。
  • エージェントソフトウェアのインストール中、ネットワークインターフェースが停止し、復旧までに数秒間かかります。DHCPを使用している場合、新しい要求が生成されるため、復旧した接続に対して別のIPアドレスが割り当てられる可能性があります。詳細は、以下のサイトを参照してください。

注釈

  • 仮想サーバーへのエージェントソフトウェアのインストールは、お客様にて実施してください。
  • エージェントソフトウェアをインストールするには、対象のホストに管理者としてログインする必要があります。
エージェントソフトウェアの標準インストール先
 エージェントソフトウェアの標準インストール先は、仮想サーバーのOSによって異なります。
OS 標準インストール先
Windows C:\Program Files\Trend Micro\Deep Security Agent
Red Hat Enterprise Linux
System files:/opt/ds_agent、/var/opt/ds_agent
Startup scripts:/etc/init.d/ds_agent、/etc/init.d/ds_filter
Communication channel between user and kernel mode
components:/dev/dsa、/dev/dsa_ssl、/proc/driver/dsa

注釈

  • インストール先は変更できます。また、エージェントソフトウェアのバージョンアップなどにより、インストール先の内容が変更される場合があります。
弊社管理のマネージャーとの通信
 VM間ファイアウォールを利用する仮想サーバーは、弊社管理のマネージャーと通信する必要があります。
 ルーティング設定とDNS名前解決の設定を実施してください。
ルーティング設定
※ 本項では統合ネットワークアプライアンスをINAと表記します。
  • 仮想サーバーからvファイアウォール/INAへのルーティングを、以下のいずれかの方法で設定してください。
    • 仮想サーバーのデフォルトゲートウェイを、vファイアウォール/INAに設定
    • 弊社管理のマネージャー宛通信のスタティックルートのゲートウェイを、vファイアウォール/INAに設定
  • VM間ファイアウォールを利用する仮想サーバーが、vファイアウォール/INAと直接接続されていないサーバーセグメントに接続されている場合は、vファイアウォール/INAと仮想サーバーを直接接続するための追加サーバーセグメントが必要です。
DNS名前解決
 弊社管理のマネージャーと通信するために、マネージャーの名前解決が必要です。お客様環境内のDNSサーバーまたは、対象仮想サーバーのhostsファイルを使用して、弊社管理マネージャーの名前解決の設定を実施してください。
制約事項

  • 本サービスには、vファイアウォールまたは統合ネットワークアプライアンスのご利用が必須となります。

  • VM間ファイアウォールのルール名は、自動的に設定されます。設定を変更することはできません。

  • エージェントソフトウェアの監視(常時起動していることの確認)は、お客様の責任で実施してください。

  • 以下の通信に関しては、VM間ファイアウォールの制御ルールに関わらず、通信を遮断致します。

    • TCPの同時接続数が10,000を超える通信

    • UDPの同時接続数が10,000を超える通信

    • RFCに準拠しない通信や不正な操作が疑われる通信

      (例)
      • IPヘッダが無い場合
      • 送信元および送信先IPが同じ場合 等
      • また、ご利用中のサーバーのリソース不足に起因した通信断を引き起こす場合もあります。
  • プライベートカタログを使用して、仮想サーバーをテンプレート化して保存する場合は、VM間ファイアウォールのエージェントソフトウェアをインストールする前に実施してください。

    VM間ファイアウォールのエージェントソフトウェアがインストールされた状態、またはインストールとアクティベーション(弊社が管理するマネージャーへの登録通信)が完了した状態の仮想サーバーをテンプレート化して保存した場合、そのテンプレートを使用して仮想サーバーを作成すると、テンプレート化する際に使用した仮想サーバーおよび新規に構築した仮想サーバーにおいてVM間ファイアウォールが利用できなくなります。イメージバックアップを使用した場合も同様です。

  • VM間ファイアウォールは、VM間ファイアウォールで提供される機能が、完全性、正確性、お客様への利用目的への適合性を有していることについて保証するものではありません。

  • VM間ファイアウォール機能を構成する機器の開発元または販売元に、以下の情報を提供する場合があります。

    • VM間ファイアウォールの提供を通じて得られた設定情報
    • VM間ファイアウォールの制御などによって得られた情報
  • VM間ファイアウォール機能とお客様環境との相性により起こり得る不具合、またはお客様が弊社指定以外の操作を行った場合に発生する不具合については、その回復の保証はできません。

  • メンテナンス作業時は、作業内容により、お客様通信へ影響が発生する場合があります。お客様通信に影響が発生する作業の場合は、事前連絡した上で実施します。ただし、本サービスを提供する上で緊急を要すると弊社が判断した作業の場合は、その限りではありません。

  • Enterprise Cloud 2.0 ホスト型セキュリティをEnterprise Cloud 1.0のホスト上でご利用される場合のお問い合わせは、Enterprise Cloud 2.0 チケットシステムでお問合せください。