サービス概要

目次

ファイアウォールとは

ファイアウォールでは、インターネットとサーバー間の出入りするパケットを監視し、お客様のポリシーに合わせたパケットの制御や遮断が行えます。

サービスの特徴

ハードウェア・筐体

ファイアウォールサービスでは高度なカスタマイズ性を備えた高性能セキュリティアプライアンス FirePower（※） を採用しています。

マルチコア アーキテクチャで構成され、遅延の大幅な低減、高いセッション並列処理能力を備えています。

ハードウェアの詳しい内容については、ベンダーのドキュメント をご覧ください。

冗長構成

2台1組の冗長構成にて稼動しています。

仮に1台で障害が発生した場合はもう1台への切り替わりが発生し、サービスが継続して提供されます。

動作設定

マルチモード（共用ファイアウォール）で動作しており、お客様には1セキュリティコンテキスト（仮想ファイアウォール）をまるごと提供いたします。

セキュリティコンテキストは独立しており、それぞれが1つのファイアウォールとして動作します。

本書では以降セキュリティコンテキストのことをファイアウォールとして説明させていただきます。

運用と保守

ファイアウォールの管理者権限をお渡しいたしますので、TCP、UDP、その他のプロトコルやさまざまなアプリケーションプロトコルのアクセス制限をお客様の環境に合わせて、自由に設定いただけます。

投入するアクセス制限数の上限や設定変更回数の上限もありませんので、追加費用なしで必要な設定を投入できます。

また、IPv6 にも対応しており、設定を行っていただければすぐにご利用いただけます。

※提供時期によってアプライアンス機器が異なる場合があります。

専用グローバルネットワークとの接続設定

ファイアウォールと専用グローバルネットワークとの接続時に以下の2つの接続設定のどちらかを選択することができます。

• 専用グローバルネットワークをインサイドネットワークに設定する

• 専用グローバルネットワークをNAT変換用に設定する

選択した接続設定は、 接続解除か設定破棄 後に新規接続を行うことで、いつでも切り替えが可能です。

専用グローバルネットワークをインサイドネットワークに設定する

新規接続時に専用グローバルネットワークのNAT変換設定を無効として接続を行います。

接続を行うと、ファイアウォールのインサイドインターフェースに専用グローバルネットワークのゲートウェイアドレスがアタッチされ、専用グローバルネットワークを宛先、送信元とする通信をファイアウォールで制御できるようになります。

• NAT変換設定を無効とした専用グローバルネットワークと接続するサーバーのグローバルインターフェースには、専用グローバルネットワークのIPアドレスを設定します。

• この接続設定ではロードバランサーをご利用いただけます。

専用グローバルネットワークをNAT変換用に設定する

新規接続時にプライベートIPアドレスを指定し、専用グローバルネットワークのNAT変換設定を有効として接続を行います。

接続を行うと、ファイアウォールのインサイドインターフェースにお客様指定のプライベートIPアドレスがアタッチされ、プライベートネットワークを宛先、送信元とする通信をファイアウォールで制御できるようになります。

• NAT変換設定を有効とした専用グローバルネットワークと接続するサーバーのグローバルインターフェースには、お客様指定のプライベートネットワークのIPアドレスを設定します。

• サーバーをインターネット側へ公開する際にはファイアウォール上でNAT変換を行う必要があります。

• この接続設定ではロードバランサーをご利用いただけません。

ご利用いただく上の注意事項

出荷時には、ユーザーの環境に依存する内容以外は、基本的に適切な状態でお渡ししています。

以下の２つの設定は 絶対に変更しないでください。 接続できなくなったり、ファイアウォールがうまく機能しなくなってしまう恐れがあります。

• デフォルトルートの設定

• ファイアウォール管理IPアドレスの設定

機能を理解しないまま設定すると接続できなくなったり、意図しない状態で稼働することになります。

わからない点はベンダーが提供しているマニュアルを確認してください。

• CLI Book 2: Cisco ASA Series Firewall CLI Configuration Guide, 9.16

• CLI ブック 2：Cisco ASA シリーズ ファイアウォール 9.12 CLI コンフィギュレーション ガイド

• ASDM Book 2: Cisco Secure Firewall ASA Series Firewall ASDM Configuration Guide, 7.18

• ASDM ブック 2: Cisco ASA シリーズ ファイアウォール ASDM 7.14 コンフィグレーションガイド

ファイアウォールの管理ツール

GUIとCLIのツール

ファイアウォールを操作する管理ツールは「グラフィカルユーザーインターフェース（GUI）」と「コマンドラインインターフェース（CLI）」があります。

いずれの管理ツールも、安全上の理由から初期状態で接続制限が有効となっています。

ファイアウォールのセットアップ を済ませることで接続できるようになります。

管理ツール（管理GUI）	・接続方式：HTTPS接続（専用のランチャーアプリを使用） ・接続制限：接続した専用グローバルネットワーク以外からは接続できない
管理ツール（管理CLI）	・接続方式：SSH接続 ・接続制限：接続した専用グローバルネットワーク以外からは接続できない

管理ツール（管理GUI）

ファイアウォールでは専用アプリ「Cisco ASDM-IDM Launcher」をインストールし、グラフィカルな画面（GUI）を使って直感的な操作を行うことができるようになっています。

Cisco ASDM-IDM Launcher 起動画面

ASDM-IDM Launcher イメージ画面

管理ツール（管理CLI）

お手持ちのターミナルソフトウェアを使い、SSHで直接ファイアウォールに接続し操作することができます。

コマンドに関する専門的な知識が必要ですが、シンプルな操作でファイアウォールを管理することができます。

Note

• SSHセッションは1セキュリティコンテキストあたり最大2セッションまで接続できます。

• SSHセッションはファイアウォール全体で同時接続の制限がございます。他ユーザーのセッション状況により、SSH経由でログインできない場合があります。