7.1 ファイアウォールの仕様

ファイアウォールの仕様を以下に示します。

補 足

ファイアウォールの性能については、「7.3 ファイアウォールの性能」をご覧ください。

ファイアウォールの機能については、「7.7.1 ファイアウォールの機能一覧」をご覧ください。

ファイアウォールの仕様

ファイアウォールの仕様を以下に示します。

項目 仕様
ファイアウォール
帯域 100Mbps、300Mbps、500Mbps
※帯域性能は全インターフェース(External および Internal)での合算となります
IPv4 使用可能
IPv6 使用可能(グローバルネットワークのみ)
グローバルアドレス 複数のIPv4 / IPv6アドレスを使用可能
ネットワーク接続:External (Untrust) 以下の1本の中から選択して接続可能
  • 接続可能ネットワーク
    • グローバルネットワーク
    • 標準プライベートネットワーク
    • プライベートネットワーク/V
  • 接続方法
    • ネットワーク初期設定時のみ設定可能
  • 制限
    • ネットワーク初期設定後は変更不可
ネットワーク接続:Internal (Trust) 以下の中から最大 5 本まで接続可能
  • 接続可能ネットワーク
    • 標準プライベートネットワーク
    • プライベートネットワーク/V
  • 接続方法
    • ネットワーク初期設定時に任意の本数を指定
    • ネットワーク初期設定後も 1 本ずつ追加及び解除が可能
  • 制限
    • グローバルネットワークは接続不可
    • 最低 1 本は接続必須

冗長構成の仕様

ファイアウォールの冗長構成の仕様を以下に示します。

項目 仕様
ファイアウォール
冗長構成
  • 冗長構成(冗長構成済みで提供)
  • 冗長構成の変更は不可
冗長方式 Master/Slave構成
  • Masterに障害が発生した場合、自動的にSlaveへのフェールオーバーをすることで業務の継続を可能とします。
  • 障害復旧時は、自動的にMasterにフェールバックされます。
  • Masterホストを再起動することで、フェールオーバーおよびフェールバックを発生させてその影響を確認することができます。ファイアウォールのホストの再起動について詳しくは、「10.10 ファイアウォールの再起動」をご覧ください。
  • ステートフルフェールオーバーには対応していません。フェールオーバーおよびフェールバックが発生した場合、セッションは引き継がれません。
設定反映 設定はMasterとSlaveの両方へ同時に反映されます。

NATの仕様

ファイアウォールのNATの仕様を以下に示します。

詳しくは、「7.3 ファイアウォールの性能」をご覧ください。

項目 仕様
ファイアウォール
NAT

グローバルアドレス(VIP)と Internal 側のプライベートアドレスとを 1 対 1 で紐づけて NAT します。

Internal 側のサーバをインターネットに公開するための機能です。

実際に通信を成立させるためには合わせてポリシーによる許可設定が必要です。
NAPT

Internal 側のアドレスもしくはセグメントとグローバルアドレス(VIP)とを紐づけて NAPT します。

Internal 側のサーバがインターネットにアクセスするための機能です。

実際に通信を成立させるためには合わせてポリシーによる許可設定が必要です。

ファイアウォールの機能仕様

ファイアウォールの機能仕様を以下に示します。

ファイアウォールルールの設定方法については、「E:コントロールパネルでの設定方法」の「10.5 ファイアウォールのポリシー設定」をご覧ください。

項目 仕様
ファイアウォール
アドレスオブジェクト
  • 1 つ以上の IPアドレス もしくは ネットワークアドレス をグループ化して指定します。
  • 送信元アドレスオブジェクトもしくは送信先アドレスオブジェクトとしてポリシーで利用します。
  • IPv4 / IPv6 を混在して設定することができます。
サービスオブジェクト 以下の項目を組み合わせて通信の内容を定義したものです。
  • プロトコル
    • ICMP
    • TCP
    • UDP
    • FTP
      • Passive FTP / Active FTP 対応
  • 宛先ポート
    • 1 つもしくは レンジ での指定が可能
動作 ACCEPT(許可)、DROP(破棄)
注 意
  • サービスオブジェクトのプロトコルを FTPで、DROP を設定した場合、パケットは DROP されず FTP 的に拒否されます。
  • パケットを DROP させたい場合は、プロトコル TCP に設定してください。
ポリシー

以下の条件を組み合わせた情報をポリシーとしてファイアウォールのフィルタを設定します。

  • 送信元アドレスオブジェクト
  • 送信先アドレスオブジェクト
  • サービスオブジェクト
  • 動作
  • 有効・無効

1 つのポリシーに指定できる以下のオブジェクトは最大 1 つです。

  • 送信元アドレスオブジェクト
  • 送信先アドレスオブジェクト
  • サービスオブジェクト
補 足
    ステートフルインスペクションに対応しています。ポリシーで許可している通信に関して、戻りの通信を許可するために別のポリシーを明示的に設定する必要はありません。
ログ

Syslog でのリモート転送のみ提供します。

転送先となるSyslogサーバはお客様で構築いただく必要があります。
注 意
    サービスオブジェクト FTP で設定する場合以下の注意事項があります。
  • NAPTを利用時、Active FTP は利用できません。
補 足
    サービスオブジェクトを FTP、ポリシーのアクションを ACCEPT にした場合にサーバで確認できるクライアントのアドレスは、ファイアウォールの Internal ゲートウェイアドレス (VIP) ではなく、ファイアウォールホストの実アドレスとなります。