KDDIクラウドプラットフォームサービス ナレッジサイト

  • HOME
  • サービス
  • ファイアウォール・ロードバランサー
  • 拡張ファイアウォール
  • 重要事項説明・SLA

重要事項説明・SLA

区分 内容
回線 拡張ファイアウォールのご利用にはKDDI WVS設備との接続が必要となります。
ご利用予定の拠点にKDDI Wide Area Virtual Switch(以下WVS)/WVS2のご契約がない場合には、別途WVS/WVS2接続のお申し込みが必要となります。
回線は1Gbpsベストエフォート(回線共有型)での提供となります。
お客さま通信帯域を保証するものではありません。また、他のお客さまの通信から影響を受ける場合があります。
大量のトラフィックにより、本サービスの安定提供に支障が起きる可能性がある場合に、お客さまの通信を一時的に制限する場合があります。
設定可能な通信経路は、インターネットとDMZセグメント間およびDMZセグメントとお客さまの社内ネットワーク(イントラフロントセグメント)/WVS間となります。※社内ネットワークについては、概要図をご確認ください。
グローバルIP 本サービスをご利用いただく際には、KDDIで用意する固定グローバルIPアドレスをご利用いただきます。お客さま保有のIPアドレスはご利用いただけません。
グローバルIPアドレスは、DMZセグメントのプライベートIPアドレスと7個NAT設定してお渡しいたします。
(アドレスは1対1でのNAT変換となります。)
グローバルIPが8個以上必要な場合、拡張ファイアウォール(FW)を1契約追加でご契約いただく必要があります。
その場合、利用数が2となりますが、カスタマーコントロールのアカウントは1アカウントのままです。
ファイアウォール 開通初期のファイアウォールポリシーは、外部/内部からのすべての通信を遮断するように設定されています。デフォルトのポリシーの変更、新たなポリシーの追加はカスタマーコントロールで設定可能です。
拡張ファイアウォール経由でインターネットにアクセスする場合は、必ずDMZセグメントを経由します。
※KDDIのWVS/WVS2側お客さま拠点からのインターネットアクセス用での利用は実施できません。
ファイアウォールログは、通信を拒否したログ(denyログ)のみが取得されます。通信を許可したログ(Allowログ)は取得できません。
KDDI WVS/WVS2網内およびイントラフロントセグメント、バックセグメントからインターネット方向へ、拡張ファイアウォールを通さずに直接パケットを送信することはできません。
拡張ファイアウォールと通信可能なイントラフロントセグメントはサイトごとにひとつとなります。
アプリケーション指定により、ファイアウォールでの通信制御が可能ですが、アプリケーションの依存関係、またはSSL通信を伴う場合には、制御できない場合がございます。許可設定時、アプリケーションに依存関係がある場合、依存関係にあるアプリケーションも許可していただく必要がございます。(依存関係がある場合、そのアプリケーションだけを許可することはできません。)
例.2チャンネルの書き込み(アプリケーション: 2ch-posting)を許可する場合ウェブ-browsing ⇒ 2ch ⇒ 2ch-posting という依存関係となります。そのため、2ch-postingだけでなく、ウェブ-browsing と 2ch を許可する必要があります。
SSL通信を使用するアプリケーションについては、通信経路が暗号化されていることから、ファイアウォールでアプリケーションを識別できません。
アプリケーションのシグネチャ情報は、定期的に更新されております。更新により、新たなアプリケーションが追加された結果、お客さまがファイアウォールに設定されているオブジェクト名(アプリケーショングループオブジェクト、アプリケーションフィルターオブジェクト)と重複する場合には、コミット処理が失敗いたします。お客さまで設定されているオブジェクト名を変更いただく必要がございます。
ファイアウォールのIPSポリシー(シグネチャ設定)はサービスで一意となります。お客さまがご利用の通信において、IPSポリシーによる遮断が発生した場合は、該当する通信についてファイアウォールポリシーのIPS機能をOFFにしてご利用いただくことで通信を可能となる場合があります。
ファイアウォールが提供するウェブウイルスチェックおよびスパイウェアチェックについて、当該機能に起因する誤遮断が発生した場合は、該当する通信に関するファイアウォールポリシーのウェブウイルスチェック機能、スパイウェアチェック機能をOFFにしていただくことで利用可能となります。
ファイアウォールが提供するウェブウイルスチェックおよびスパイウェアチェックは、100%検知することを保証するものではございません。
カスタマーコントロール 開通初期のファイアウォールポリシーはKDDIで定める初期設定となります。開通後のファイアウォールポリシーはKDDIで定める初期設定を含めカスタマーコントロールシステム(以下、『カスコン』と記述)によりお客さまに管理いただきます。(ポリシーの初期設定の詳細およびファイアウォールポリシーの変更については、『カスコンシステム操作マニュアル』をご参照ください。)
WVS網内⇔DMZセグメント、イントラフロントセグメント⇔DMZセグメント、インターネット⇔DMZセグメントの各セグメント通信は、カスコンにて設定いただくことで許可されます。 ただし、WVS網内にグローバルIPがある場合、WVS網内⇔DMZセグメントのグローバルIPへの通信を許可する設定はできません。
カスコンより設定いただけるファイアウォールのポリシーは199行までとなります。(ファイアウォールで設定できるパラメータの上限値は『カスコンシステム操作マニュアル』をご参照ください)
カスコンでの追加、変更、削除の設定情報の反映には、数分かかる場合があります。又、反映処理が混み合っている場合には、反映処理がエラーとなる場合があります。(エラーとなった場合には、再度反映処理の実行をお願いいたします。) なお、反映処理中は、カスコンのほかのメニューはご利用いただけません。
カスコンから参照およびダウンロード可能なログ情報には、ご利用前のインターネットからの攻撃に対する防御ログが含まれる場合があります。又、KDDIによる開通確認試験のログや、故障切り分け試験のログも含まれる場合があります。なお、ファイアウォールログは、通信を拒否したログ(denyログ)のみが取得されます。
システム障害などにより、カスコン上からのデータ参照や、ダウンロード可能なログ情報が欠損、または、重複する場合があります。なお、ログが欠損した場合、過去に遡ってのログの復旧は行われません。
カスコン上でトラフィックレポートの提供を行います。トラフィックレポートは、ファイアウォールにレポート対象となるデータが存在する場合にのみ提供されます。(設備メンテナンスなどにより、レポートが提供されない場合がございます。)
その他 拡張ファイアウォールと標準ロードバランサーを組み合わせて利用することはできません。各組み合わせ利用時の帯域と組みあわせ利用の一覧はこちらをご確認ください。
KCPS ver1/KCPS ver2ともに、Activeセッション数は50,000に制限されています。Activeセッション数が50,000を超える場合は、新規セッションを増やすことはできません。

 

サービス

2020/11/20 2020/11/20