(2016年時点での内容をアーカイブとして掲載しているため、一部の掲載内容が最新情報とは異なる場合がありますので、ご了承ください。最新のIBM Cloudのアップデート情報はIBM Cloud アップデート情報 や 柔らか層本をご参照ください。)
概要
SoftLayerで利用できるものには、OSファイアウォール、ハードウェア・ファイアウォール、ネットワーク・ファイアウォールがあり、これらを利用して物理サーバー、仮想サーバーを保護することができます。 ここではこの3種類のファイアウォールの概要をご説明します。 さらに、仮想ルーターOSであるVyattaを利用できるため、このファイアウォール機能についても触れていきます。
利用できるファイアウォールの種類
SoftLayerでは、3種類 (OSファイアウォール、ハードウェア・ファイアウォール、ネットワーク・ファイアウォール) のファイアウォールを利用することができます。 次の図は、この3種の違いを概念的に表したもので、最初に、これらの違いをご説明します。
・OSファイアウォール
上の図のように、仮想サーバーや物理サーバーのWindowsやLinuxのOS上で実行されるもので、料金も発生しません。 OSの種類ごとに異なるツールの設定方法を知っていれば、もっともコストをかけずにサーバーを保護することができます。 この具体的な構成方法は、2.2 OSファイアウォールの設定方法は?を参照してください。
・ ハードウェア・ファイアウォール
これは上の図の点線で囲まれた部分のファイアウォールをあらわしています。 仮想サーバーや物理サーバーの単位で注文し設定するもので、料金は月額でサーバ単位に発生します。 これは、カスタマーポータルのサーバー管理画面からルールを設定できるため、OS毎の設定方法を知らなくても使えるツールです。 前述のLinux上で動作するファイアウォールは、Linuxのエディタで、ルールの設定ファイルを編集する必要があり、さらに、APFやiptablesのコマンドの理解など、技術的スキルが要求されます。 この具体的な構成方法は、2.3 ハードウェア・ファイアウォールをポータルで保護するには?を参照してください。
・ ネットワーク・ファイアウォール
これは上の図のネットワーク・ファイアウォール(正式名:Hardware Firewall (Dedicated) 和訳;専有型ハードウェア・ファイアウォール)です。 これは、VLANをまるごと保護するように導入できます。 ここでは簡単に区別できるようにするため、ネットワーク・ファイアウォールと呼びます。 これの利点は、ネットワーク上のサーバーを一括で保護できる点です。 前述のハードウェア・ファイアウォールでは、サーバー単位に料金が発生し、サーバー単位で、ルールを設定することになります。 このため、サーバー数が増えると、ルールがサーバー単位に散在して分かりにくくなり、料金も高くなっていきます。 サーバー数が増えると、このファイアウォールがお勧めです。
このネットワーク・ファイアウォールは、次の注文画面 Hardware Firewall(Dedicated) のように、FortiGate Security Applicance, Hardware Firewall (Dedicated) の2種類があります。 さらに、高可用性(High Avaliability)の選択肢も用意されています。 これは、ハードウェアを2重化することによって、ハードウェア障害によるサービス停止を軽減するものです。 FortiGate Security Applicanceは、最近追加された高性能なファイアウォールで、今後の主流になると考えれられるため、本章では、こちらにフォーカスしてご紹介していきます。 この具体的な構成方法は、2.4 ネットワーク・ファイアウォールで保護するには?を参照してください。
Vyattaをファイアウォールとして応用する方法
さらに、仮想サーバー、または、物理サーバー上で、仮想ルーターOSのVyattaを使うこともできます。 VyattaはOSSでありながら、商用ルーターOSなみの多くの機能があり、多くのユーザーがいます。
次の図のように、Vyattaの機能を利用して、プライベート・ネットワーク内のサーバーに対するファイアウォールとして構成できます。 この構成では、パブリック・アドレスとプライベート・アドレスに変換するNATの機能と、特定のプロトコルだけの通過を許すファイアウォールの機能を利用します。
Vyattaを利用するには、サーバー注文時のOS選択で「Vyatta」を選びます。 仮想サーバーでは、OSの追加料金は発生せず、仮想サーバー1台分の料金だけで利用できます。 時間単位でも利用できるので、短期間で利用するときは使いやすいファイアウォールです。 ルール設定には、サーバー起動後にsshでログインします。 ルール設定などの具体的な方法はVyattaユーザー会( http://www.vyatta-users.jp )の記事などインターネット上に豊富にありますので、ご興味のある方は、ぜひ挑戦してみてはいかがでしょうか。