7.11. VM間ファイアウォール¶
2020/03/31 をもって提供終了しました。
7.11.2. VM間ファイアウォール¶
項目 | 概要 |
処理内容 | 以下の項目で設定した条件に一致したIPパケットの通過について、許可または拒否を指定します。 |
パケット方向 | 対象の仮想サーバーから送信するIPパケットか、受信するIPパケットかを指定します。 |
フレーム種別 | 「IP」、「ARP」、「その他」のいずれかを指定します。 |
プロトコル | IPパケットのプロトコルを、「ICMP」、「TCP」、「UDP」のいずれかから指定します。 |
送信元IPアドレス | IPパケットの送信元のIPアドレスを、IPアドレスおよびサブネットマスクで指定します。
複数のIPアドレスを指定したり、IPアドレスを範囲で指定したりできます。
|
送信元ポート番号 | IPパケットの送信元のポート番号を指定します。 |
送信先IPアドレス | IPパケットの送信先のIPアドレスを、IPアドレスおよびサブネットマスクを指定します。
複数のIPアドレスを指定したり、IPアドレスを範囲で指定したりできます。
|
送信先ポート番号 | IPパケットの送信先ポート番号を指定します。 |
重要
- VM間ファイアウォールでは、サービス仕様上必ず許可が必要なルールが存在します。詳しくは、VM間ファイアウォールのパラメータシートをご確認ください。
7.11.3. 注意事項¶
仮想サーバーのシステム要件項目 | 概要 |
メモリー容量 | 512 MB以上 |
ディスク容量 | 1 GB以上 |
OS | Enterprise Cloud サービスで利用可能なOSのうち、別紙「ウイルス対策/仮想パッチ/VM間ファイアウォール対応OS一覧」に記載のあるOS |
重要
- Linux OSの場合は、カーネルのバージョン確認が必要です。
- VM間ファイアウォールをご利用になる場合は、OS上にてIPv6の設定を正しく有効または無効にしてください。
重要
- VM間ファイアウォールは、ウイルス対策(VM)以外のウイルス対策ソフトウェアと同時に利用することはできません。VM間ファイアウォールのエージェントソフトウェアをインストールする前に、必ず他のウイルス対策ソフトウェアをアンインストールしてください。
- エージェントソフトウェアを仮想サーバー上にアップロードする場合、ISOイメージファイル、またはCD/DVDドライブでのマウントによるアップロードは実施しないでください。
- エージェントソフトウェアをインストールする仮想サーバーは、NTPなどで時刻同期を行ってください。時刻の同期がとれていない場合、エージェントソフトウェアの有効化に失敗する場合があります。
- エージェントソフトウェアの待ち受けポートとして4118ポートを使用します。このポート番号は変更不可のため、エージェントソフトウェアをインストールする仮想サーバーでは他のアプリケーションと重複しないことを確認の上、利用してください。
- エージェントソフトウェアのインストール中、ネットワークインターフェースが停止し、復旧までに数秒間かかります。DHCPを使用している場合、新しい要求が生成されるため、復旧した接続に対して別のIPアドレスが割り当てられる可能性があります。詳細は、以下のサイトを参照してください。
注釈
- 仮想サーバーへのエージェントソフトウェアのインストールは、お客様にて実施してください。
- エージェントソフトウェアをインストールするには、対象のホストに管理者としてログインする必要があります。
OS | 標準インストール先 |
Windows | C:\Program Files\Trend Micro\Deep Security Agent |
Red Hat Enterprise Linux | System files:/opt/ds_agent、/var/opt/ds_agent
Startup scripts:/etc/init.d/ds_agent、/etc/init.d/ds_filter
Communication channel between user and kernel mode
components:/dev/dsa、/dev/dsa_ssl、/proc/driver/dsa
|
注釈
- インストール先は変更できます。また、エージェントソフトウェアのバージョンアップなどにより、インストール先の内容が変更される場合があります。
- 仮想サーバーからvファイアウォール/INAへのルーティングを、以下のいずれかの方法で設定してください。
- 仮想サーバーのデフォルトゲートウェイを、vファイアウォール/INAに設定
- 弊社管理のマネージャー宛通信のスタティックルートのゲートウェイを、vファイアウォール/INAに設定
- VM間ファイアウォールを利用する仮想サーバーが、vファイアウォール/INAと直接接続されていないサーバーセグメントに接続されている場合は、vファイアウォール/INAと仮想サーバーを直接接続するための追加サーバーセグメントが必要です。
本サービスには、vファイアウォールまたは統合ネットワークアプライアンスのご利用が必須となります。
VM間ファイアウォールのルール名は、自動的に設定されます。設定を変更することはできません。
エージェントソフトウェアの監視(常時起動していることの確認)は、お客様の責任で実施してください。
以下の通信に関しては、VM間ファイアウォールの制御ルールに関わらず、通信を遮断致します。
TCPの同時接続数が10,000を超える通信
UDPの同時接続数が10,000を超える通信
- RFCに準拠しない通信や不正な操作が疑われる通信(例)
- IPヘッダが無い場合
- 送信元および送信先IPが同じ場合 等
- また、ご利用中のサーバーのリソース不足に起因した通信断を引き起こす場合もあります。
プライベートカタログを使用して、仮想サーバーをテンプレート化して保存する場合は、VM間ファイアウォールのエージェントソフトウェアをインストールする前に実施してください。
VM間ファイアウォールのエージェントソフトウェアがインストールされた状態、またはインストールとアクティベーション(弊社が管理するマネージャーへの登録通信)が完了した状態の仮想サーバーをテンプレート化して保存した場合、そのテンプレートを使用して仮想サーバーを作成すると、テンプレート化する際に使用した仮想サーバーおよび新規に構築した仮想サーバーにおいてVM間ファイアウォールが利用できなくなります。イメージバックアップを使用した場合も同様です。
VM間ファイアウォールは、VM間ファイアウォールで提供される機能が、完全性、正確性、お客様への利用目的への適合性を有していることについて保証するものではありません。
VM間ファイアウォール機能を構成する機器の開発元または販売元に、以下の情報を提供する場合があります。
- VM間ファイアウォールの提供を通じて得られた設定情報
- VM間ファイアウォールの制御などによって得られた情報
VM間ファイアウォール機能とお客様環境との相性により起こり得る不具合、またはお客様が弊社指定以外の操作を行った場合に発生する不具合については、その回復の保証はできません。
メンテナンス作業時は、作業内容により、お客様通信へ影響が発生する場合があります。お客様通信に影響が発生する作業の場合は、事前連絡した上で実施します。ただし、本サービスを提供する上で緊急を要すると弊社が判断した作業の場合は、その限りではありません。
Enterprise Cloud 2.0 ホスト型セキュリティをEnterprise Cloud 1.0のホスト上でご利用される場合のお問い合わせは、Enterprise Cloud 2.0 チケットシステムでお問合せください。