| ファイアウォール機能 インストールガイド |
|
目次
索引
|
| 第4章 ファイアウォ−ル機能の動作環境 | > 4.1 「Interstage Security Director (Windows版)」 |
ここでは、ファイアウォール機能が提供する各種機能を最大限に利用して頂くための必要資源の見積りについて説明します。
本製品を起動して動作させるために必要となる静的メモリ容量(固定値)を、各機能単位で示します。
|
機能 |
メモリ容量 (Mバイト) |
|---|---|
|
基本部 (IPフィルタ、IPフィルタログ) |
6 |
|
透過ゲートウェイ |
16 |
|
暗号ゲートウェイ 認証ゲートウェイ |
8 |
|
IPセキュリティゲートウェイ |
10 |
|
仮想アドレス広報機能 |
3 |
|
集中管理クライアント機能 |
5 |
また、上記に加え、最大コネクション数に応じたメモリ容量が必要です。詳細は、最大コネクション数の設定を参照してください。
本製品の運用中に動的に獲得されるメモリ容量と、その変動要素を各機能単位で示します。
|
機能 |
変動要素 |
所要メモリ容量 (Mバイト) |
|---|---|---|
|
IPフィルタ 透過ゲートウェイ |
通信パス |
0.001 |
|
アンチウィルス連携 認証ゲートウェイ |
通信パス |
0.5 |
|
認証ゲートウェイ |
定義済ユーザ数 |
0.1 |
|
暗号ゲートウェイ |
相手暗号ゲートウェイ数 |
0.01 |
|
IPセキュリティゲートウェイ |
相手IPsec/IKEゲートウェイ数 |
0.01 |
備考
通信パス
本製品を経由して通信する送信元と送信先のコネクションです。
以下の組合せの総和となります。
送信元IPアドレス
送信先IPアドレス
送信元ポート番号
送信先ポート番号
また、FTPなど、二次コネクションを生成するサービスについては、生成される二次コネクション数を含めてカウントしてください。
通信パス数(最大コネクション数)の制限
本製品を経由して通信を行なうコネクション数は、運用形態により異なります。一方、不正アクセスにおけるDoS攻撃への対応を行なうことも重要です。これへの対応として、本製品を介して通信可能なコネクション数の上限値を設けることで、 メモリ資源の枯渇、又は、これに伴なうシステム運用への悪影響を未然に防止することができます。
コネクション数の上限値については、メモリの空き容量やトラフィック負荷などを考慮して設定してください。
デフォルトでは、10,000コネクションまでの同時多重運用が可能です。
最大コネクション数のチューニングについては、「環境設定ガイド」の「SDFW運用管理サービス」を参照してください。
本製品のインストール時に必要となる静的ディスク容量(固定値)は、以下の通りです。
|
インストール機能 |
所要ディスク容量 (Mバイト) |
|---|---|
|
サーバ本体 |
15 |
|
BASEドライバ |
5 |
|
SMEEライブラリ |
5 |
|
Securecryptoライブラリ |
5 |
本製品では、運用中にログ情報を記録するため、ディスク資源が必要となります。
必要となる容量は、運用中に使用する本製品の機能とトラフィックに依存します。
実運用前に試行期間が確保できる場合は、試行期間中にチューニングすることをお勧めします。
以下の値を参考にして、ログ採取のためのディスク所要量を見積もってください。
また、運用開始以降も、ディスク空き容量を確認し、必要に応じて、空き容量を確保するようにしてください。
|
項番 |
項目 |
内容 |
|---|---|---|
|
1 |
種別 |
コネクションログ (アドレス変換情報を含みます) |
|
格納ディレクトリ |
環境設定の「ログ格納ディレクトリ」で設定します。 |
|
|
ファイルの内容 |
コネクションの生成/解放時およびアラートイベント検出時に、その情報が記録されます。 コネクション生成および解放時に約0.2Kバイト、アラートイベント検出時に約0.1Kバイト増加します。 |
|
|
2 |
種別 |
SDFW暗号ログ |
|
格納ディレクトリ |
環境設定の「ログ格納ディレクトリ」で設定します。 |
|
|
ファイルの内容 |
SDFW暗号通信を使用した場合、暗号化して送受信した暗号パケットの情報が記録されます。このファイルは日単位で自動的に生成されます。 1パケットごとに約0.1Kバイト、アラートイベント検出時に約0.1Kバイト増加します。 |
|
|
3 |
種別 |
IPsec/IKE暗号ログ |
|
格納ディレクトリ |
環境設定の「ログ格納ディレクトリ」で設定します。 |
|
|
ファイルの内容 |
IPsec/IKEゲートウェイを使用した場合、IPsec/IKEゲートウェイで暗号化した暗号パケットの情報が記録されます。このファイルは日単位で自動的に生成されます。 1パケットごとに約0.1Kバイト、、アラートイベント検出時に約0.1Kバイト増加します。 |
|
|
4 |
種別 |
認証ログ |
|
格納ディレクトリ |
環境設定の「ログ格納ディレクトリ」で設定します。 |
|
|
ファイルの内容 |
ユーザ認証機能を使用した場合、認証結果と接続情報が記録されます。このファイルは、日単位で自動的に生成されます。 1パケットごとに約0.1Kバイト、アラートイベント検出時に約0.1Kバイト増加します。 |
備考
暗号パケット
SDFW暗号、IPsec/IKEの場合、送受信データは暗号化されます。
この暗号化されたパケットを暗号パケットとしています。
一つの通信パス上の暗号パケット数は、概略以下の計算式で求めることができます。
|
暗号パケット数=送受信データサイズ/MTU長 |
(MTU長は、Ethernetの場合、一般に1500バイトです。ネットワークメディアやシステム設定を確認してください)
ログ採取
ログの採取の有無は、環境設定の設定に依存します。
ログ格納ディレクトリの初期値は、以下の通りです。
C:\Program Files\Safegate\Logs
本製品の運用中に獲得するメモリは、"静的メモリ所要量"と"動的メモリ所要量"から計算されます。
また、システム運用中に獲得できる最大メモリ容量は、実装メモリと仮想メモリの設定およびディスクの空き容量に依存する“コミットチャージ”の“制限値”に関係しています。
本製品を運用するにあたり、事前に以下の関係が成り立つよう、システムの環境を設定してください。
・最大コミットチャージの制限値 > A + B + C
A:システム起動時の初期メモリ所要量
B:本製品起動時の静的メモリ所要量
C:本製品運用時の動的メモリ所要量
仮想メモリの設定は、以下の手順で設定します。
[スタート]メニューの[設定]-[コントロールパネル]を選択し、[システム]アイコンをダブルクリックします。
[コンピュータの管理]の[プロパティ] - [詳細設定]から、[パフォーマンス]の[パフォーマンスオプション]をダブルクリックし、仮想メモリの[変更]ボタンをクリックします。仮想メモリダイアログボックスが表示されます。
仮想メモリの値を設定します。初期値および最大値を同じ値で設定してください。処理性能を重視する場合は、初期値、最大値共に実装メモリと同じ値に設定することをお勧めします。
仮想メモリの値を設定したら、[OK]ボタンをクリックし、仮想メモリの設定処理を終了します。
設定されているコミットチャージの“制限値”は、以下のいずれかの方法で確認してください。
「Windowsタスクマネージャ」-「パフォーマンス」をクリックします。
|
目次
索引
|