| ファイアウォール機能 管理者ガイド |
|
目次
索引
|
| 第4章 ホットスタンバイシステム(Windows版) | > 4.4 ホットスタンバイ環境設定 |
ファイアウォール機能の環境設定は、各ノード上で実施してください。
また、ホットスタンバイシステムのイベント監視で必要なファイアウォール設定についてはイベント監視を、ファイアウォール機能の環境設定方法については、「ファイアウォール機能 環境設定ガイド」の「二重化システム」を参照してください。
パケットフィルタリング条件の設定内容は、ホットスタンバイを構成しない通常の設定内容(実IPアドレスに対する設定)と同等です。
パケットフィルタリングをホットスタンバイ形態で利用する場合、本製品自身のインタフェースに対して設定されたフィルタリング条件に対して、実IPアドレス及び代表IPアドレスの両方の条件が設定されます。
ホットスタンバイシステムにおける暗号ゲートウェイ/IP セキュリティゲートウェイの設定内容は、ホットスタンバイを構成しない通常の設定内容(実IPアドレスに対する設定)と同等です。
また、ホットスタンバイシステム上で動作するアプリケーションでIKE 暗号通信を行なう場合、送信元IPアドレスが実IPアドレスの条件に加えて、以下のフィルタ条件を設定してください。
送信元IPアドレスが代表IPアドレスの条件
ホットスタンバイシステム上で動作するアプリケーションでSDFW暗号通信、またはIPsec 暗号通信を行なう場合は、送信元IPアドレスが実IPアドレスの条件を設定することで、送信元IPアドレスが代表IPアドレスの条件が自動的に追加されます。
さらに、相手暗号ゲートウェイ側の設定では、ネットワークの引継ぎで使用する代表IPアドレスに対して、相手暗号ゲートウェイを設定してください。
ホットスタンバイシステムにおける認証ゲートウェイの設定内容は、ホットスタンバイを構成しない通常の設定内容(実IPアドレスに対する設定)と同等です。
ホットスタンバイシステムにおけるアドレス変換機能の設定内容は、ホットスタンバイを構成しない通常の設定内容(実IPアドレスに対する設定)と同等です。
なお、仮想アドレスを使用しない IP マスカレード方式では、ホットスタンバイシステムの論理IPアドレスが送信元IPアドレスとして使用されます。
ホットスタンバイシステムでは、ネットワークの引継ぎ機能を使用した代表IPアドレスの引継ぎを行います。ゲートウェイとして運用する場合、他システムでの経路情報の設定は、この代表IPアドレスを使用してください。
透過モード・ゲートウェイで通信を行うサーバ/クライアントの経路がネットワークの引継ぎで使用する代表IPアドレスに定義されている必要があります。仮想アドレスを使用する場合は、この代表IPアドレスに対して経路設定されるように RIP が送信されるため、動的経路制御を行っているシステムでは、経路情報の設定を意識する必要はありません。仮想アドレスを使用しない場合、および動的経路制御を行わないシステムの場合には、静的に代表IPアドレスに対する経路を設定してください。
証明書関連のポリシーの移出/移入については、運用系ノードの 証明書環境を待機系ノードにコピーし、同じディレクトリ環境を作成してください。
|
目次
索引
|