インターネットアクセスモジュール
NPSにインターネット接続及び付加機能を追加するには、インターネットアクセスモジュールをご契約ください。
品目
本モジュールには、インターネット接続帯域に応じた以下の品目があります。
| 品目 | 帯域品目 | 内容 |
|---|---|---|
| IP-1 | ベストエフォート | 上限1Gbpsベストエフォートの通信帯域です |
| 帯域確保(1Mbps~500Mbps) | 左記範囲により通信帯域を確保して提供します | |
| IP-2 | ベストエフォート | 上限1Gbpsベストエフォートの通信帯域です。2つのNPSにそれぞれインターネットへの接続点を作成し、冗長化します |
| 帯域確保(1Mbps~500Mbps) | 左記範囲により通信帯域を確保して提供します。2つのNPSにそれぞれインターネットへの接続点を作成し、冗長化します |
帯域確保品目は、1Mbps単位で選択できます。
「ベストエフォート」から「帯域確保」に変更する際、及び「帯域確保」から「ベストエフォート」に変更する際は、インターネット接続が一時的に中断され、グローバルIPアドレスが変更されます。
機能
インターネット接続
NPSとインターネットとの境界で、NAPTによってプライベートIPアドレスとIPv4グローバルアドレスが相互に変換されます。NPSとインターネットとの境界ごとに弊社から1つ割り当てられるIPv4グローバルアドレスを、すべてのクライアント端末で共有します。
インターネットからはNPS内部に対してアクセスはできません。
本モジュールを契約すると、NPS内で本モジュールがデフォルトルートに設定されます。
お客様持ち込みグローバルIPv4アドレスを利用することはできません。
NAPTのセッション数は最大65,536です。
エンハンストファイアウォールモジュールと併用する場合、NAPTは本モジュールでは提供しません。
NAPTはTCP/UDP/ICMPに対してのみ有効です。
冗長構成
IP-2を契約すると、弊社より以下のように冗長構成でインターネット接続を提供します。
ご契約時に、アクティブとなるNPSを指定してください。
アクティブ側で障害を検知した場合、スタンバイ側に自動的に切り替わります。
1つのNPSグループにIP-1を2つ契約した場合はそれぞれのNPSからインターネット接続ができます。
その他のモジュールがインターネット接続する際には該当モジュールが属するNPSにあるインターネットアクセスモジュールからインターネットに接続できます。
片側のIP-1で障害を検知した場合、もう片方に自動的に迂回します。
いずれの構成でも、インターネットとの境界ごとにグローバルIPv4アドレスは異なります。また、冗長する2つのモジュール間でNAPTセッションの同期は行いません。
DNSフォワーダ
本モジュールを契約すると、弊社よりDNSフォワーダを1つ提供します。更に、インターネットの名前解決ができるキャッシュDNSサーバを弊社より提供します。参照用DNSサーバでDNSフィルタを適用するかどうかを選択できます(DNSフィルタの利用有無はNPSグループ内で一意となります)。
DNSフィルタを有効にする場合、参照用DNSサーバへの名前解決要求を弊社が生成するC&Cサーバ(command and controlサーバの略称。マルウェアが感染した機器に対して指令または制御を行うサーバ)の情報と照合し、通信先がC&Cサーバなどと合致した場合、その悪性通信を遮断します。
アプリケーションゲートウェイ
本モジュールを経由するすべてのHTTP及びHTTPSによる通信を、強制的に任意のプロキシサーバ(インターネット上にあるものに限る)へ中継できます。
本機能を有効にすると、本モジュールを透過型プロキシとして利用できます。
URLフィルタ
本モジュールを経由するHTTPによる通信に対して、URLフィルタを設定できます。
本機能で通信をブロックした場合は、ステータスコード403及びブロックしたことを示すメッセージが、クライアントに対するHTTPレスポンスとして表示されます。これらの表示は、Webブラウザの言語設定に従い、日本語または英語で表示されます。
URLフィルタリング方式
- ブラックリスト方式、ホワイトリスト方式から選択できます。
URLフィルタ仕様
- 512ルールまでのフィルタを設定できます。
- ワイルドカード(*)を128文字まで指定できます。
- ワイルドカードのみでは指定できません。
- IPアドレスを直接指定したアクセスを禁止できます。
- httpsからはじまるURLは指定できません。
パケットフィルタ
本モジュールとNPSとの接続点を通過するパケットに対して、通信制御ができます。
| 設定項目 | 設定内容 | 設定対象 | |
|---|---|---|---|
| アクセス制御ルール | ステートフルフィルタ、ステートレスフィルタを選択できます。ステートレスフィルタを選択した場合、戻り通信も考慮したフィルタポリシーを設定してください。なお、冗長構成をとっていたとしてもステートの同期はされません |
モジュール単位 | |
| ルールに合致しない場合の動作 | ポリシールールに合致しない通信を許可するか拒否するかを選択できます | モジュール単位 | |
| マッチフィールド | 通信方向 | NPSからインターネット方向のみ | ポリシー単位 最大100ルール指定できます |
| アクション | ポリシールールに合致した通信を許可するか拒否するかを選択できます | ||
| IPv4プロトコル | TCPパケット、UDPパケット、TCPとUDPパケット、ICMPパケット、すべてのIPパケット、特定のプロトコル番号のパケットから選択できます | ||
| 通信元IPアドレス | 対象パケットの通信元アドレスを指定できます | ||
| 通信元ポート番号 | 対象パケットの通信元ポート番号を指定できます | ||
| 通信先IPアドレス | 対象パケットの通信先アドレスを指定できます | ||
| 通信先ポート番号 | 対象パケットの通信先ポート番号を指定できます | ||
| ログ | フィルタのログ機能の有効/無効を選択できます | ポリシー単位 最大100ルール指定できます |
|
| フィルタステートTTL | ステートフルフィルタを選択した場合、動的フィルタの有効時間を指定できます(10-180秒) | ポリシー単位 最大100ルール指定できます |
|
インターネット向け経路の広報
他のモジュールに対してデフォルトルートの経路広報を行います。
本機能を無効にすると、インターネットゲートウェイを本モジュールから容易に切り替えることができます。
インターネットアクセス経路変更等の理由で、本モジュールからデフォルトルートを他のモジュールに広報しない場合は、本機能を無効にしてください。
契約条件
IP-1
1つのNPSにつき本モジュールを1つ契約できます。
NPSグループごとに、本モジュールを2つまで契約できます。
IP-1を2つ契約している場合、IP-2へ品目変更できません。
IP-2
NPSグループごとに、本モジュールを1つまで契約できます。
IP-1へ品目変更できません。