「さくらの専用サーバ」ファイアウォールのリプレースについて

重要

2020年7月28日に新規提供を終了した 「さくらの専用サーバ」について記載しています。

「さくらの専用サーバ PHY」ではありません。

概要

2023年5月31日に「さくらの専用サーバ」ファイアウォールで使用している機器のベンダーサポートが終了します。

セキュリティの確保や保守の維持が困難となる為、後継機へのリプレースを実施いたします。

本ページでは後継機の概要とリプレースに伴う重要な注意点についてご案内いたします。

後継機について

後継機の仕様や該当するベンダードキュメント、契約あたり利用目安は以下となります。

ハードウエア情報

モデル	Cisco Firepower 4125
構成	冗長構成
タイプ	共用
その他	ファイアウォールモード: トランスペアレントモード (L2) / ルーテッドモード (L3) グローバル側インターフェース：1個（名称:outside） インターナル側インターフェース：1個（名称:inside） 管理ツール：ssh（管理CLI）/ https（管理GUI）

ベンダー提供 ドキュメンテーション

• CLI Book 2: Cisco ASA Series Firewall CLI Configuration Guide, 9.14

• CLI ブック 2：Cisco ASA シリーズ ファイアウォール 9.12 CLI コンフィギュレーション ガイド

• ASDM Book 2: Cisco Secure Firewall ASA Series Firewall ASDM Configuration Guide, 7.18

• ASDM ブック 2: Cisco ASA シリーズ ファイアウォール ASDM 7.14 コンフィグレーションガイド

契約あたりの利用目安

同時接続数	100,000
新規接続数/秒	4,400
最大接続ピア数（L3 ファイアウォールのみ）	5ピア
コンフィグ行数	10,000行

リプレースメンテナンスについて

事前に設定の凍結点を定めて現行機から設定をバックアップし、それを元に後継機を作成します。

メンテナンス当日には現行機と後継機をネットワーク的に切り替えることでリプレースを実施します。

リプレースに伴う重要な注意点は以下となります。

設定の凍結点とは

作成する後継機の元となる設定を確定させる日時を指します。

凍結点からメンテナンス当日までにお客様が現行機に加えた設定変更は移行されませんので、もし設定変更を加えられた場合は設定ファイルダウンロードを実施し、メンテナンス後に再設定をお願いいたします。

ファイアウォールを利用したい

メンテナンス中のファイアウォールの操作はお控えください

メンテナンス中はファイアウォールにログインしての操作、コントロールパネルからの設定ファイルダウンロードや設定初期化などの操作もお控えいただくようにお願いいたします。

ファームウェアバージョンと ASDM バージョンが変更となります

ファームウェアバージョンは ASA 9.14、ASDM バージョンは 7.18 へと変更となります。

重要な変更点として、ASDM 7.18 では Java Web Start が廃止されます。

Oracle による JRE 8 および Java Network Launching Protocol（JNLP）のサポートが終了したことによるものです。

ASDM を起動する場合は、ご利用の PC へ ASDM-IDM Launcher をインストールして実行ください。

ASDM-IDM Launcher がインストール済みの場合は、メンテナンス後に ASDM-IDM Launcher を起動してファイアウォールへ接続しますとアップデートが行われます。

インストール、アップデートに関わらず起動時にエラーとなる場合は以下のマニュアルを参照ください。

Cisco ASDM-IDM Launcher のトラブルシューティング

SSH ホスト鍵は移行されません

現行機と後継機との間で SSH ホスト鍵は移行されず、SSH ホスト鍵は後継機で新たに作成します。

メンテナンス後にターミナルソフトウェアやサーバ上から SSH で接続を行いますと、SSH ホスト鍵が変更されたことでフィンガープリントが一致せず「WARNING: REMOTE HOST IDENTIFICATION HAS CHANGED!」の警告が表示され接続が行えない状態となる場合がございます。

その場合は、既存の known_hosts ファイルから現行機の SSH ホスト鍵を削除して再度接続をお願いいたします。

サーバ上の known_hosts ファイルから現行機の SSH ホスト鍵の削除は、以下のコマンドで行えます。

ssh-keygen コマンド

$ ssh-keygen -R <ファイアウォールの IP アドレス>

インターフェースの MAC アドレスは移行されません

現行機と後継機との間で MAC アドレスは移行されず、後継機のものが使用されます。

SSL 証明書は移行されません

現行機でファイアウォールの HTTPS ポート向けに SSL 証明書を設定されている場合は、後継機には移行されません。

お手数ではございますが、メンテナンス後にお手元の SSL 証明書から再設定をお願いいたします。

弊社管理部分以外でのインターフェースの監視を無効といたします

現行機ではご利用のファイアウォール毎にインターフェースの監視を有効としておりましたが、監視数が過大で負荷の原因となる恐れがあることから、後継機では弊社管理部分以外でのインターフェース監視を無効といたします。

こちらの設定につきましてはメンテナンス後も有効とされないようにお願いいたします。

変更前の設定

monitor-interface outside
monitor-interface inside

変更後の設定

no monitor-interface outside
no monitor-interface inside

コンソールへのロギング設定を無効といたします

コンソールへのロギングはレベルによらず運用時には無効とすることが推奨されていること、コンソールへは弊社しか接続が行えずログの出力が管理の妨げになることから、コンソールへのロギング設定はログレベルに関わらず後継機では無効といたします。

こちらの設定につきましてはメンテナンス後も有効とされないようにお願いいたします。

削除される設定

logging console <ログレベル>

Q&A

リプレースによってファイアウォールの料金は変更になりますか？

いいえ。変更されません。

リプレースによってファイアウォールの何が変更されますか？

管理用の IP アドレスやパスワードなども含めて以下の例外を除いて設定は変更されません。

• SSH ホスト鍵
• インターフェースの MAC アドレス
• SSL 証明書
• 弊社管理部分以外でのインターフェースの監視設定
• コンソールへのロギング設定

コントロールパネル上から確認できる「機器ID」は後継機のものへと変更されますので、メンテナンス後にご確認ください。

通信断が発生するのはファイアウォールだけですか？

いいえ。ファイアウォールだけでなく、ファイアウォール配下のサーバも対象となります。

ページトップへ戻る

©SAKURA internet Inc.