- HOME
- 操作方法
- 操作手順(ハンズオン)
- ファイアウォール(FW)・ロードバランサー(LB)
- 拡張ファイアウォール設定
拡張ファイアウォール設定
拡張ファイアウォール(FW)の基本機能
【標準機能】
- ネットワークおよび設備冗長化した1Gbpsベストエフォート型 インターネット接続回線
- DMZ接続機能(グローバルアドレス7個と1対1NAT)
- ファイアウォール(お客さま独自のポリシー設定が可能)
- インターネット(Untrust側)からイントラネット(Trust側)への通信は拒否します。
- カスタマーコントロール機能で設定いただきます。詳細はカスタマーコントロール機能編を参照ください。
【注意事項】
- インターネット回線は、共有となります。
- DMZセグメント以外からは、拡張ファイアウォール経由でインターネットアクセスはできません。 ※KDDI WVS側お客さま拠点からのインターネットアクセス用での利用は実施できません。
- 設定可能な通信経路は、インターネットとDMZセグメント間およびDMZセグメントとイントラフロントセグメント、WVS間となります。
- 開通初期のファイアウォールポリシーは、外部からのすべての通信を遮断するように設定されています。デフォルトのポリシーの変更、新たなポリシーの追加はカスタマーコントロールで設定可能です。
- ファイアウォールログは、通信を拒否したログ(denyログ)のみが取得されます。通信を許可したログ(Allowログ)は取得できません。
- 拡張ファイアウォールのご利用にはKDDI WVS設備との接続が必要となるため、お客さま拠点でWVSをご利用でない場合もWVS接続ありの申し込みとなります。
【セキュリティ機能】
- IPS/IDS
- 脆弱性の悪用、バッファオーバフロー、DoS攻撃、およびポートスキャンを検知・遮断します。
- Webウイルスチェック
- インターネット上のウェブサイトからダウンロードされるコンテンツのウイルスチェックを行います。
- ウイルスを検知した場合は、コンテンツを破棄しブロック画面を返します。
- チェック対象通信 :http,ftp over http
- チェック可能ファイルサイズ:無制限
- チェック可能圧縮回数 :2階層
- チェック可能圧縮形式 :zip,gzip
- チェック可能ファイル形式 :PE、DEXフォーマット、HTML、Javascript、PDF(4.0以降)
- チェック対象外ファイル :暗号化ファイル、パスワードロックファイル
- スパイウェアチェック
- スパイウェアのダウンロードおよびスパイウェアの外部(コントロールサーバ)との通信を検知・遮断します。
上記セキュリティ機能で用いるシグネチャは全ユーザー共通でKDDIにて適宜アップデートされます。
拡張ファイアウォール(FW)の利用時の注意事項
- 1Gbpsベストエフォート(回線共有型)での提供となります。お客さま通信帯域を保証するものではありません。また、ほかのお客さまの通信により通信速度に影響を受ける場合があります。
- 大量のトラフィックにより、本サービスの安定提供に支障が起きる可能性がある場合に、お客さまの通信を一時的に規制する場合があります。
- 本サービスご利用に当たっては、KDDIで用意する固定グローバルIPアドレスをご利用いただきます。お客さま保有のIPアドレスなどはご利用いただけません。
- グローバルIPアドレスは、DMZセグメントのプライベートIPアドレスと7個NAT設定してお渡し致します。グローバルIPを8個必要な場合、拡張FWを1契約追加で申し込む必要があります。その場合、利用数が2となりますが、カスタマーコントロールのアカウントは1アカウントのままです。
- KDDI WVS網内およびイントラフロント、バックセグメントからインターネット方向へ直接パケットを送信することはできません。
- 拡張FWと通信可能なイントラフロントセグメントはサイトごとにひとつとなります。
- 開通初期のファイアウォールポリシーはKDDIで定める初期設定となります。開通後のファイアウォールポリシーはKDDIで定める初期設定を含めカスタマーコントロールシステム(以下、「カスコン」と記述)によりお客さまにて管理いただきます。(ポリシーの初期設定の詳細およびファイアウォールポリシーの変更については、「カスコンシステム操作マニュアル」をご参照ください。)
- カスコンに設定いただくことで、WVS網内⇔DMZ、イントラ⇔DMZ、インターネット⇔DMZの各セグメント通信を許可することができます。 ただし、WVS網内にグローバルIPがある場合、WVS網内⇔DMZのグローバルIPへの通信を許可する設定はできません。
- お客さまにてカスコンより設定いただけるファイアウォールのポリシーは199行までとなります。(ファイアウォールで設定できるパラメータの上限値は「カスコンシステム操作マニュアル」をご参照ください)
- カスコンでの追加、変更、削除の設定情報の反映には、数分間処理時間を要する場合があります。又、反映処理が混み合っている場合には、反映処理がエラーとなる場合があります。(エラーとなった場合には、再度反映処理の実行をお願い致します。) なお、反映処理中は、カスコンのほかのメニューはご利用いただけません。
- アプリケーション指定により、ファイアウォールでの通信制御が可能ですが、アプリケーションの依存関係、またはSSL通信を伴う場合には、制御できない場合がございます。許可設定時、アプリケーションに依存関係がある場合、依存関係にあるアプリケーションも許可していただく必要がございます(依存関係がある場合、そのアプリケーションだけを許可することはできません)。 例.2チャンネルの書き込み(アプリケーション: 2ch-posting)を許可する場合web-browsing ⇒ 2ch ⇒ 2ch-posting という依存関係となります。そのため、2ch-postingだけでなく、web-browsing と 2ch を許可する必要があります。
- SSL通信を使用するアプリケーションについては、通信経路が暗号化されていることから、ファイアウォールでアプリケーションを識別できません。
- ファイアウォールのアプリケーションのシグネチャ情報は、定期的に更新されております。更新により、新たなアプリケーションが追加された結果、お客さまがファイアウォールに設定されているオブジェクト名(アプリケーショングループオブジェクト、アプリケーションフィルターオブジェクト)と重複する場合には、コミット処理が失敗致します。お客さまで設定されているオブジェクト名を変更いただく必要がございます。
- ファイアウォールのIPSポリシー(シグネチャ設定)はサービスで一意となります。お客さまがご利用される通信において、IPSポリシーによる遮断が発生した場合は、該当となる通信に関するファイアウォールポリシーのIPS機能をOFFにしてご利用いただくことで通信を可能となる可能性があります。
- ファイアウォールにて提供するWebウイルスチェックおよびスパイウェアチェックについて、Webウイルスチェック又はスパイウェアチェック機能による誤遮断が発生した場合は、該当となる通信に関するファイアウォールポリシーのWebウイルスチェック機能、スパイウェアチェック機能をOFFにしてご利用いただくことで通信可能となります。
- ファイアウォールにて提供するWebウイルスチェックおよびスパイウェアチェックについて、100%検知することを保証するものではございません。
- カスコンにより、参照およびダウンロード可能なログ情報には、ご利用前のインターネットからの攻撃に対する防御ログが含まれる場合があります。又、KDDIによる開通確認試験のログや、故障切り分け試験のログも含まれる場合があります。なお、ファイアウォールログは、通信を拒否したログ(denyログ)のみが取得されます。
- システム障害などにより、カスコンより参照、ダウンロード可能なログ情報が欠損、または、重複する場合があります。また、ログが欠損した場合、過去に遡ってのログの復旧は行われません
- カスコンよりトラフィックレポートの提供を行います。トラフィックレポートは、ファイアウォールにレポート対象となるデータが存在する場合に提供が可能となります(設備メンテナンスなどにより、レポートが提供されない場合がございます)。
- 拡張FWと標準LBとの組み合わせ利用はできません。各組み合わせ利用時の帯域と組み合わせ利用の一覧はこちらをご確認ください。
- KCPS ver1,KCPS ver2ともに、Activeセッション数が50,000で制限されています。Activeセッション数が50,000を超える場合は、新規セッション不可となります。