拡張ファイアウォール

拡張ファイアウォール(FW)の基本機能

【標準機能】

  •  ネットワーク及び設備冗長化した1Gbpsベストエフォート型 インターネット接続回線
  •  DMZ接続機能(グローバルアドレス7個と1対1NAT)
  •  ファイアウォール(お客さま独自のポリシー設定が可能)
    • インターネット(Untrust側)からイントラネット(Trust側)への通信は拒否します。
    • カスタマコントロール機能で設定頂きます。詳細はカスタマコントロール機能編を参照ください。

【注意事項】

  • インターネット回線は、共有となります。
  • DMZセグメント以外からは、拡張ファイアウォール経由でインターネットアクセスはできません。 ※KDDI WVS側お客さま拠点からのインターネットアクセス用での利用は実施できません。
  • 設定可能な通信経路は、インターネットとDMZセグメント間およびDMZセグメントとイントラフロントセグメント、WVS間となります。
  • 開通初期のファイアウォールポリシーは、外部からのすべての通信を遮断するように設定されています。デフォルトのポリシーの変更、新たなポリシーの追加はカスタマーコントロールで設定可能です。
  • ファイアウォールログは、通信を拒否したログ(denyログ)のみが取得されます。通信を許可したログ(Allowログ)は取得できません。
  • 拡張ファイアウォールのご利用にはKDDI WVS設備との接続が必要となるため、お客さま拠点でWVSをご利用でない場合もWVS接続ありの申込みとなります。

【セキュリティ機能】

  • IPS/IDS
    • 脆弱性の悪用、バッファオーバフロー、DoS攻撃、およびポートスキャンを検知・遮断します。
  • Webウィルスチェック
    • インターネット上のWebサイトからダウンロードされるコンテンツのウイルスチェックを行います。
    • ウイルスを検知した場合は、コンテンツを破棄しブロック画面を返します。
      • チェック対象通信 :http,ftp over http
      • チェック可能ファイルサイズ:無制限
      • チェック可能圧縮回数 :2階層
      • チェック可能圧縮形式 :zip,gzip
      • チェック可能ファイル形式 :PE、DEXフォーマット、HTML、Javascript、PDF(4.0以降)
      • チェック対象外ファイル :暗号化ファイル、パスワードロックファイル
  • スパイウェアチェック
    • スパイウェアのダウンロードおよびスパイウェアの外部(コントロールサーバ)との通信を検知・遮断します。

上記セキュリティ機能で用いるシグネチャは全ユーザ共通でKDDIにて適宜アップデートされます。

Webウイルスチェック ブロックページ

Webウイルスチェック
ブロックページ

拡張ファイアウォール(FW)の利用時の注意事項

  1. 1Gbpsベストエフォート(回線共有型)での提供となります。お客様通信帯域を保証するものではありません。また、他のお客様の通信により通信速度に影響を受ける場合があります。
  2. 大量のトラフィックにより、本サービスの安定提供に支障が起きる可能性がある場合に、お客様の通信を一時的に規制する場合があります。
  3. 本サービスご利用に当たっては、KDDIで用意する固定グローバルIPアドレスをご利用いただきます。お客さま保有のIPアドレス等はご利用いただけません。
  4. グローバルIPアドレスは、DMZセグメントのプライベートIPアドレスと7個NAT設定してお渡し致します。グローバルIPを8個必要な場合、拡張FWを1契約追加で申し込む必要があります。その場合、利用数が2となりますが、カスコンのアカウントは1アカウントのままです。
  5. KDDI WVS網内およびイントラフロント、バックセグメントからインターネット方向へ直接パケットを送信することは出来ません。
  6. 拡張FWと通信可能なイントラフロントセグメントはサイト毎にひとつとなります。
  7. 開通初期のファイアウォールポリシーはKDDIで定める初期設定となります。開通後のファイアウォールポリシーはKDDIで定める初期設定を含めカスタマーコントロールシステム(以下、「カスコン」と記述)によりお客様にて管理いただきます。(ポリシーの初期設定の詳細およびファイアウォールポリシーの変更については、「カスタマーコントロールシステム操作マニュアル」をご参照下さい。)
  8. カスコンに設定頂くことで、WVS網内⇔DMZ、イントラ⇔DMZ、インターネット⇔DMZの各セグメント通信を許可することが出来ます。 ただし、WVS網内にグローバルIPがある場合、WVS網内⇔DMZのグローバルIPへの通信を許可する設定はできません。
  9. お客様にてカスコンより設定いただけるファイアウォールのポリシーは199行までとなります。(ファイアウォールで設定できるパラメータの上限値は「カスタマーコントロールシステム操作マニュアル」をご参照下さい)
  10. カスコンでの追加、変更、削除の設定情報の反映には、数分間処理時間を要する場合があります。又、反映処理が混み合っている場合には、反映処理がエラーとなる場合があります。(エラーとなった場合には、再度反映処理の実行をお願い致します。) 尚、反映処理中は、カスコンの他のメニューはご利用いただけません。
  11. アプリケーション指定により、ファイアウォールでの通信制御が可能ですが、アプリケーションの依存関係、またはSSL通信を伴う場合には、制御できない場合がございます。許可設定時、アプリケーションに依存関係がある場合、依存関係にあるアプリケーションも許可して頂く必要がございます(依存関係がある場合、そのアプリケーションだけを許可することは出来ません)。 例.2チャンネルの書き込み(アプリケーション: 2ch-posting)を許可する場合web-browsing ⇒ 2ch ⇒ 2ch-posting という依存関係となります。そのため、2ch-postingだけでなく、web-browsing と 2ch を許可する必要があります。
  12. SSL通信を使用するアプリケーションについては、通信経路が暗号化されていることから、ファイアウォールでアプリケーションを識別できません。
  13. ファイアウォールのアプリケーションのシグネチャ情報は、定期的に更新されております。更新により、新たなアプリケーションが追加された結果、お客様がファイアウォールに設定されているオブジェクト名(アプリケーショングループオブジェクト、アプリケーションフィルターオブジェクト)と重複する場合には、コミット処理が失敗いたします。お客様で設定されているオブジェクト名を変更いただく必要がございます。
  14. ファイアウォールのIPSポリシー(シグネチャ設定)はサービスで一意となります。お客さまがご利用される通信において、IPSポリシーによる遮断が発生した場合は、該当となる通信に関するファイアウォールポリシーのIPS機能をOFFにしてご利用いただくことで通信を可能となる可能性があります。
  15. ファイアウォールにて提供するWebウイルスチェックおよびスパイウェアチェックについて、Webウイルスチェック又はスパイウェアチェック機能による誤遮断が発生した場合は、該当となる通信に関するファイアウォールポリシーのWebウイルスチェック機能、スパイウェアチェック機能をOFFにしてご利用いただくことで通信可能となります。
  16. ファイアウォールにて提供するWebウイルスチェック及びスパイウェアチェックについて、100%検知することを保証するものではございません。
  17. カスコンにより、参照及びダウンロード可能なログ情報には、ご利用前のインターネットからの攻撃に対する防御ログが含まれる場合があります。又、KDDIによる開通確認試験のログや、故障切り分け試験のログも含まれる場合があります。尚、ファイアウォールログは、通信を拒否したログ(denyログ)のみが取得されます。
  18. システム障害等により、カスコンより参照、ダウンロード可能なログ情報が欠損、または、重複する場合があります。また、ログが欠損した場合、過去に遡ってのログの復旧は行われません
  19. カスコンよりトラフィックレポートの提供を行います。トラフィックレポートは、ファイアウォールにレポート対象となるデータが存在する場合に提供が可能となります(設備メンテナンス等により、レポートが提供されない場合がございます)。
  20. 拡張FWと標準LBとの組合せ利用はできません。各組合せ利用時の帯域と組合せ利用の一覧はこちらをご確認ください。
  21. KCPS1,KCPS2ともに、Activeセッション数が50,000で制限されています。Activeセッション数が50,000を超える場合は、新規セッション不可となります。

構成概要図

構成概要図

このページは役に立ちましたか? 役に立った 役に立たなかった 1人中1人がこのページは役に立ったと言っています。
このページは役に立ちましたか? 役に立った 役に立たなかった 1人中1人がこのページは役に立ったと言っています。
2017/03/29 2017/03/29