エフサステクノロジーズ株式会社

本ページの製品は2024年4月1日より、エフサステクノロジーズ株式会社に統合となり、順次、切り替えを実施してまいります。一部、富士通表記が混在することがありますので、ご了承ください。

ONTAP 9 マニュアル ( CA08871-402 )

to English version

LIFのファイアウォール ポリシーの設定

ファイアウォールの設定は、クラスタのセキュリティを強化し、ストレージ システムへの不正アクセスを防止するのに役立ちます。デフォルトでは、オンボード ファイアウォールは、データLIF、管理LIF、クラスタ間LIFの特定のIPサービスに対するリモート アクセスを許可するように設定されています。

ONTAP 9.10.1以降:

  • ファイアウォール ポリシーは廃止され、LIFサービス ポリシーに置き換えられました。以前は、オンボード ファイアウォールはファイアウォール ポリシーを使用して管理していました。今後はLIFサービス ポリシーを使用します。

  • ファイアウォール ポリシーはすべて空であり、基盤となるファイアウォールでいずれのポートも開きません。代わりに、LIFのサービス ポリシーを使用してすべてのポートを開く必要があります。

  • 9.10.1以降にアップグレードしたあとに、ファイアウォール ポリシーからLIFサービス ポリシーに移行するための操作は必要ありません。以前のリリースのONTAPで使用されていたファイアウォール ポリシーと整合性のあるLIFサービス ポリシーが自動的に構築されます。カスタム ファイアウォール ポリシーを作成および管理するスクリプトやその他のツールを使用している場合は、代わりにカスタム サービス ポリシーを作成するようにスクリプトのアップグレードが必要になることがあります。

詳細については、LIFとサービス ポリシー(ONTAP 9.7以降)を参照してください。

ファイアウォール ポリシーは、SSH、HTTP、HTTPS、Telnet、NTP、NDMP、NDMPS、RSH、DNS、SNMPなどの管理サービス プロトコルへのアクセスを制御するのに使用できます。NFSやSMBなどのデータ プロトコル用にファイアウォール ポリシーを設定することはできません。

ファイアウォール サービスとポリシーの管理には、次のような操作があります。

  • ファイアウォール サービスを有効または無効にする

  • 現在のファイアウォール サービスの設定を表示する

  • ポリシー名とネットワーク サービスを指定して新しいファイアウォール ポリシーを作成する

  • ファイアウォール ポリシーを論理インターフェイスに適用する

  • 既存のファイアウォール ポリシーとまったく同一の新しいポリシーを作成する

    この機能は、同じSVM内でよく似たポリシーを作成するときや、別のSVMにポリシーをコピーするときに使用できます。

  • ファイアウォール ポリシーについての情報を表示する

  • ファイアウォール ポリシーで使用するIPアドレスおよびネットマスクを変更する

  • LIFで使用していないファイアウォール ポリシーを削除する

ファイアウォール ポリシーとLIF

LIFのファイアウォール ポリシーは、各LIFを介したクラスタへのアクセスを制限するために使用します。デフォルトのファイアウォール ポリシーが、各タイプのLIFを介したシステムへのアクセスにどのように影響し、LIFのセキュリティを調節するためにファイアウォール ポリシーをどのようにカスタマイズできるかを理解する必要があります。

network interface createコマンドまたはnetwork interface modifyコマンドを使用してLIFを設定するときに、-firewall-policyパラメーターに指定した値によって、LIFへのアクセスが許可されるサービス プロトコルとIPアドレスが決まります。

ほとんどの場合、デフォルトのファイアウォール ポリシーの値をそのまま使用できますが、特定のIPアドレスや管理サービス プロトコルへのアクセスを制限しなければならない場合もあります。設定可能な管理サービス プロトコルは、SSH、HTTP、HTTPS、Telnet、NTP、NDMP、NDMPS、RSH、DNS、およびSNMPです。

すべてのクラスタLIFのファイアウォール ポリシーはデフォルトで""に設定され、変更することはできません。

次の表に、LIFの作成時にサービス ポリシーに基づいてLIFに割り当てられるデフォルトのファイアウォール ポリシーを示します。

ファイアウォール ポリシー

デフォルトのサービス プロトコル

デフォルトのアクセス

割り当て対象のLIF

mgmt

dns、http、https、ndmp、ndmps、ntp、snmp、ssh

任意のアドレス(0.0.0.0/0)

クラスタ管理LIF、SVM管理LIF、ノード管理LIF

mgmt-nfs

dns、http、https、ndmp、ndmps、ntp、portmap、snmp、ssh

任意のアドレス(0.0.0.0/0)

SVM管理アクセスもサポートするデータLIF

intercluster

https、ndmp、ndmps

任意のアドレス(0.0.0.0/0)

すべてのクラスタ間LIF

data

dns、ndmp、ndmps、portmap

任意のアドレス(0.0.0.0/0)

すべてのデータLIF

portmapサービスの設定

portmapサービスは、RPCサービスをRPCサービスが受信接続するポートにマップします。

portmapサービスはONTAP 9.7からは自動で管理されるようになりました。

  • ONTAP 9.7以降ではportmapファイアウォール サービスは廃止され、代わりに、NFSサービスをサポートするすべてのLIFに対してportmapポートが自動的に開かれます。

ファイアウォール ポリシーの作成とLIFへの割り当て

LIFを作成するときに、デフォルトのファイアウォール ポリシーが割り当てられます。多くの場合、ファイアウォールのデフォルト設定をそのまま使用でき、変更する必要はありません。ただし、LIFにアクセスできるネットワーク サービスやIPアドレスを変更したい場合は、カスタム ファイアウォール ポリシーを作成してLIFに割り当てます。

タスク概要
  • datainterclustercluster、またはmgmtというpolicy名のファイアウォール ポリシーを作成することはできません。

    これらの値は、システム定義のファイアウォール ポリシー用に予約されています。

  • クラスタLIFのファイアウォール ポリシーを設定したり変更したりすることはできません。

    クラスタLIFのファイアウォール ポリシーは、どのサービス タイプでも0.0.0.0/0に設定されます。

  • ポリシーからサービスを削除する必要がある場合は、既存のファイアウォール ポリシーを削除してから、新しいポリシーを作成する必要があります。

  • クラスタでIPv6が有効になっている場合は、IPv6アドレスを指定してファイアウォール ポリシーを作成できます。

    IPv6を有効にすると、dataintercluster、およびmgmtファイアウォール ポリシーの許可されるアドレスのリストに「::/0」というIPv6のワイルドカードが含まれます。

  • ONTAP System Managerを使用してクラスタ全体のデータ保護機能を設定するときは、必ず、許可されるアドレスのリストにクラスタ間LIFのIPアドレスを含め、クラスタ間LIFと会社所有のファイアウォールの両方でHTTPSサービスを許可してください。

    デフォルトでは、interclusterファイアウォール ポリシーはすべてのIPアドレスからのアクセスを許可し(0.0.0.0/0、IPv6の場合は::/0)、HTTPS、NDMP、およびNDMPSサービスを有効にするように設定されています。このデフォルト ポリシーを変更する場合や、クラスタ間LIFの独自のファイアウォール ポリシーを作成する場合は、許可されるアドレスのリストに各クラスタ間LIFのIPアドレスを追加して、HTTPSサービスを有効にする必要があります。

  • HTTPSおよびSSHのファイアウォール サービスはサポートされていません。

手順
  1. 特定のSVMのLIFで使用可能なファイアウォール ポリシーを作成します。

    system services firewall policy create -vserver vserver_name -policy policy_name -service network_service -allow-list ip_address/mask

    ファイアウォール ポリシーに追加するネットワーク サービスごとに上記のコマンドを繰り返して、各サービスで許可されるIPアドレスを指定できます。

  2. system services firewall policy showコマンドを使用して、ポリシーが正しく追加されたことを確認します。

  3. ファイアウォール ポリシーをLIFに適用します。

    network interface modify -vserver vserver_name -lif lif_name -firewall-policy policy_name

  4. network interface show -fields firewall-policyコマンドを使用して、ポリシーがLIFに正しく追加されたことを確認します。

ファイアウォール ポリシーを作成してLIFに適用する例

次のコマンドは、10.10サブネットのIPアドレスからのHTTPおよびHTTPSプロトコルによるアクセスを許可するdata_httpというファイアウォール ポリシーを作成し、SVM vs1のdata1というLIFに適用してから、クラスタのすべてのファイアウォール ポリシーを表示します。

system services firewall policy create -vserver vs1 -policy data_http -service http - allow-list 10.10.0.0/16
system services firewall policy show

Vserver Policy       Service    Allowed
------- ------------ ---------- -------------------
cluster-1
        data
                     dns        0.0.0.0/0
                     ndmp       0.0.0.0/0
                     ndmps      0.0.0.0/0
cluster-1
        intercluster
                     https      0.0.0.0/0
                     ndmp       0.0.0.0/0
                     ndmps      0.0.0.0/0
cluster-1
        mgmt
                     dns        0.0.0.0/0
                     http       0.0.0.0/0
                     https      0.0.0.0/0
                     ndmp       0.0.0.0/0
                     ndmps      0.0.0.0/0
                     ntp        0.0.0.0/0
                     snmp       0.0.0.0/0
                     ssh        0.0.0.0/0
vs1
        data_http
                     http       10.10.0.0/16
                     https      10.10.0.0/16

network interface modify -vserver vs1 -lif data1 -firewall-policy data_http

network interface show -fields firewall-policy

vserver  lif                  firewall-policy
-------  -------------------- ---------------
Cluster  node1_clus_1
Cluster  node1_clus_2
Cluster  node2_clus_1
Cluster  node2_clus_2
cluster-1 cluster_mgmt         mgmt
cluster-1 node1_mgmt1          mgmt
cluster-1 node2_mgmt1          mgmt
vs1      data1                data_http
vs3      data2                data
Top of Page