| ファイアウォール機能 管理者ガイド |
|
目次
索引
|
| 第3章 二重化システム(Solaris版) | > 3.3 システムの二重化 | > 3.3.5 環境設定 | > 3.3.5.2 設定手順 |
ファイアウォール(サーバ)上の動作環境設定完了後、管理コンソール上でセキュリティポリシーを設定し、これをファイアウォール(サーバ本体)に適用します。
管理コンソール上での環境設定方法については、「ファイアウォール機能 環境設定ガイド」の「二重化システム」を参照してください。
以下に、特に留意していただきたい事項について説明します。
以下に、ファイアウォール機能の環境設定方法について説明します。
本製品自身をサーバとして利用する場合、物理インタフェースに対するパケットフィルタリング条件を設定してください。ファイアウォール機能のなかで、物理インタフェース(実IPアドレス)と論理インタフェース(引継ぎIPアドレス)に対するパケットフィルタリング条件が自動的に設定されます。
通常の ファイアウォール機能の設定方法と同じです。
暗号ゲートウェイ/IP セキュリティゲートウェイの設定方法は、通常の ファイアウォール機能の設定方法と同じです。
ただし、設定内容を反映させるためには、PRIMECLUSTER登録とネットワークの引継ぎを行っておく必要があります。
相手暗号ゲートウェイの相手側システムで、本システムを設定する場合、本システムのIPアドレスは、引継ぎIP アドレスで設定します。
通常の ファイアウォール機能の設定方法と同じです。
ファイアウォール独自環境設定でのみ設定が可能です。
他ゲートウェイで設定した telnet / ftp のエリアスでパケットフィルタリング条件を設定します。ただし、自ゲートウェイで設定した telnet /ftp のエリアスでパケットフィルタリング条件を設定することはできません。
ネットワークの引継ぎ機能を使用した IP アドレスの引き継ぎを行います。ゲートウェイとして運用する場合、他システムでの経路情報の設定は、この 引継ぎIP アドレスを使用してください。
PRIMECLUSTER の運用に必要なパケットフィルタリング条件を設定する必要があります。PRIMECLUSTER では、異常検出や運用管理のために各ノード間の通信およびクラスタ管理ビューとの通信を行っています。このため、これらの通信を許可するパケットフィルタリング条件の設定が必要になります。
以下に、PRIMECLUSTER 向けフィルタリング条件の設定方法について説明します。
クラスタ管理ビュー用パケットフィルタリング条件
クラスタ管理ビューのホスト定義を行い、サービス ALL に対して DUAL PASS でフィルタリング条件を設定します。
クラスタ管理ビューが使用するネットワークインタフェース同士(プライマリ管理サーバとセカンダリ管理サーバ間)の通信用に、サービス ALL に対してDUAL PASS でフィルタリング条件を設定します。
LAN パトロール機能向けパケットフィルタリング条件
ネットワークの引継ぎを行う場合に、LAN パトロール向けのパケットフィルタリング条件を設定する必要があります。以下に、LAN パトロール向けのパケットフィルタリング条件について説明します。
自ノードからブロードキャストアドレス宛のping送受信条件
引継ぎIPアドレスを設定したインタフェース配下にネットワーク設定(サブネットワークアドレス指定)し、インタフェース間でpingサービスを双方向でPASSさせます。
別ノードからブロードキャストアドレス宛のping条件
引継ぎIPアドレスを設定したインタフェース以外にブロードキャストアドレスをホスト設定し、a)で作成したサブネットワーク設定からブロードキャストアドレスの方向でpingサービスをPASSさせます。
|
目次
索引
|