Help us understand the problem. What is going on with this article?

2.1 ファイアウォールを導入するには?

(2016年時点での内容をアーカイブとして掲載しているため、一部の掲載内容が最新情報とは異なる場合がありますので、ご了承ください。最新のIBM Cloudのアップデート情報はIBM Cloud アップデート情報柔らか層本をご参照ください。)

概要
SoftLayerで利用できるものには、OSファイアウォール、ハードウェア・ファイアウォール、ネットワーク・ファイアウォールがあり、これらを利用して物理サーバー、仮想サーバーを保護することができます。 ここではこの3種類のファイアウォールの概要をご説明します。 さらに、仮想ルーターOSであるVyattaを利用できるため、このファイアウォール機能についても触れていきます。

利用できるファイアウォールの種類
SoftLayerでは、3種類 (OSファイアウォール、ハードウェア・ファイアウォール、ネットワーク・ファイアウォール) のファイアウォールを利用することができます。 次の図は、この3種の違いを概念的に表したもので、最初に、これらの違いをご説明します。

・OSファイアウォール
上の図のように、仮想サーバーや物理サーバーのWindowsやLinuxのOS上で実行されるもので、料金も発生しません。 OSの種類ごとに異なるツールの設定方法を知っていれば、もっともコストをかけずにサーバーを保護することができます。 この具体的な構成方法は、2.2 OSファイアウォールの設定方法は?を参照してください。

・ ハードウェア・ファイアウォール
これは上の図の点線で囲まれた部分のファイアウォールをあらわしています。 仮想サーバーや物理サーバーの単位で注文し設定するもので、料金は月額でサーバ単位に発生します。 これは、カスタマーポータルのサーバー管理画面からルールを設定できるため、OS毎の設定方法を知らなくても使えるツールです。 前述のLinux上で動作するファイアウォールは、Linuxのエディタで、ルールの設定ファイルを編集する必要があり、さらに、APFやiptablesのコマンドの理解など、技術的スキルが要求されます。 この具体的な構成方法は、2.3 ハードウェア・ファイアウォールをポータルで保護するには?を参照してください。

・ ネットワーク・ファイアウォール
これは上の図のネットワーク・ファイアウォール(正式名:Hardware Firewall (Dedicated) 和訳;専有型ハードウェア・ファイアウォール)です。 これは、VLANをまるごと保護するように導入できます。 ここでは簡単に区別できるようにするため、ネットワーク・ファイアウォールと呼びます。 これの利点は、ネットワーク上のサーバーを一括で保護できる点です。 前述のハードウェア・ファイアウォールでは、サーバー単位に料金が発生し、サーバー単位で、ルールを設定することになります。 このため、サーバー数が増えると、ルールがサーバー単位に散在して分かりにくくなり、料金も高くなっていきます。 サーバー数が増えると、このファイアウォールがお勧めです。

このネットワーク・ファイアウォールは、次の注文画面 Hardware Firewall(Dedicated) のように、FortiGate Security Applicance, Hardware Firewall (Dedicated) の2種類があります。 さらに、高可用性(High Avaliability)の選択肢も用意されています。 これは、ハードウェアを2重化することによって、ハードウェア障害によるサービス停止を軽減するものです。 FortiGate Security Applicanceは、最近追加された高性能なファイアウォールで、今後の主流になると考えれられるため、本章では、こちらにフォーカスしてご紹介していきます。 この具体的な構成方法は、2.4 ネットワーク・ファイアウォールで保護するには?を参照してください。

Vyattaをファイアウォールとして応用する方法
さらに、仮想サーバー、または、物理サーバー上で、仮想ルーターOSのVyattaを使うこともできます。 VyattaはOSSでありながら、商用ルーターOSなみの多くの機能があり、多くのユーザーがいます。

次の図のように、Vyattaの機能を利用して、プライベート・ネットワーク内のサーバーに対するファイアウォールとして構成できます。 この構成では、パブリック・アドレスとプライベート・アドレスに変換するNATの機能と、特定のプロトコルだけの通過を許すファイアウォールの機能を利用します。

Vyattaを利用するには、サーバー注文時のOS選択で「Vyatta」を選びます。 仮想サーバーでは、OSの追加料金は発生せず、仮想サーバー1台分の料金だけで利用できます。 時間単位でも利用できるので、短期間で利用するときは使いやすいファイアウォールです。 ルール設定には、サーバー起動後にsshでログインします。 ルール設定などの具体的な方法はVyattaユーザー会( http://www.vyatta-users.jp )の記事などインターネット上に豊富にありますので、ご興味のある方は、ぜひ挑戦してみてはいかがでしょうか。

Why not register and get more from Qiita?
  1. We will deliver articles that match you
    By following users and tags, you can catch up information on technical fields that you are interested in as a whole
  2. you can read useful information later efficiently
    By "stocking" the articles you like, you can search right away